1.3.1 セキュリティ監査の目的

tatsumi_naoki

以下は、セキュリティ監査で検出される可能性のある項目の一覧です。

不適切な物理的セキュリティ
セキュリティポリシーでは、ストレージと送信の両方で、すべての顧客データの暗号化が必要になる場合がある。

たとえば、監査中に、毎週1回、顧客情報ファイルがすべてのマネージャに紙媒体のレポートで渡されていることがわかった。
このレポートは毎週破棄されるが、マネージャの中には簡単にゴミの中から見つけることができるようなゴミ箱に捨てていることが判明した。

不適切なパスワード管理
セキュリティポリシーにより、各ユーザーは30日ごとにパスワードを変更する必要があります。
セキュリティ監査の結果、パスワードが変更されていることは判明したが、多くのユーザーは毎月「PasswordA」と「PasswordB」を交互に使用していた。 (パスワード履歴は、パスワード監査ツールの一般的な機能です)

ユーザー権限および共有権限に対する不適切な管理
例としては、ユーザーが自身の業務を実行するのに必要なものよりも多くのアイテムへのアクセス権を付与されている場合がある。

別の例としては、個々のユーザーのファイルをプライベートにする必要があるときに、それらのファイルがネットワーク上で共有されている場合がある。
これは、ノートPCを使用しているユーザー、特に自宅または公共の場所でWi-Fi接続を介してイントラネットにアクセスするユーザーにとっては特に問題となる。

サーバーレベルのセキュリティが不十分
具体的な監査領域は次のとおりです。
* ポート割り当てとセキュリティ
* データの保護
* ユーザアカウントの保護(ログインおよびその他の機密情報)

ベンダーセキュリティアップデートの不適切な適用
不適切な侵入検知メカニズム
セキュリティ違反が発生した場合の不適切な対応計画

JSTQB AL セキュリティテスターの目次

1 セキュリティテストの基礎

ここから先は

0字

このマガジンを購読していただくと、ソフトウェア品質倶楽部のコミュニティ(LINEグループ)にも参加していただくことができます。 コミュニティへの参加を希望される方はコメントにてご連絡ください。

ソフトウェア品質倶楽部

¥1,000 / 月 初月無料

ソフトウェアテストに関する情報(資格、技術、技術書)などを定期的に追加します。 個別で販売しているノートは全て入っています。

ログイン

この記事が気に入ったらサポートをしてみませんか?