Notesが穴? 「見える化」で対処する日本版SOX法 − @IT情報マネジメント
管理しなくてはならないのは、ドメインサーバへアクセスする為のアカウントだけではないという話。 常駐先の場合、退職者のIDは即効削除処理を行っているので、退職後のリスクというのは無いと思われますが、 記事内にある金融機関や医療機関など機密性の高い顧客情報を持っている企業では、 これらのデータを業務システムで厳重に管理されているとは思うが、社内打ち合わせ資料として作成したレポートが、 Notes上で共有されていることはないだろうか。 製造業やそのほかの業種であっても、顧客情報や採用に関する個人情報、 競合に絶対知られたくない情報の1つである顧客からのクレームや不具合情報なども同様である。これは、結構、ありえる話なので、各nsfファイルのアクセス権限などをきちんとしておかないと、 そこからの漏洩という話も無論考えないといけないことになります。 また、いかに、それらの漏洩などの脅威を緩和させるか?といった策が記事に書かれていますが、 これは、Notesだけにとどまる内容ではないと思います。対策1:ログ監視を告知して威嚇 対策2:アクセス傾向分析による危機察知 ・文書やDBの監視 ・ユーザーの監視 対策3:情報漏えい・不正アクセス源の特定 対策4:想定される影響範囲の特定旧バージョンのNotesを使い続けられている企業の方は、以下の文書が参考になるかと思いますので、バージョンアップの検討にぜひ一読。 Networld:Events & Seminars:IBMミドルウェアソリューションセミナーレポート ・徹底比較 Lotus Notes/Domino 7 vs R4.x、R5.x〜旧バージョンをお使いの皆さまへ〜 他