ISACAの9月例会に出席してきた。内部統制やセキュリティ維持の文脈で、SunのI&AM製品を紹介された。

のだが・・I&AM製品を見ていつも思うのは、きちんと運用すれば確かに「本来アクセス権を与えられるべきではない人」の不正は減るのだろうが、財務報告に影響のあるような不正って、「業務上必要があってアクセス権を持つ人」が引き起こすケースが多いのではないだろうか。今日の説明だけだと、「オペレータさんがコンソールでやっているアカウントの追加・変更・削除作業の負荷が減るツール」としか理解できなかった。