神田まで行ってきた。CPE取得のため。


DBセキュリティガイドラインの内容について。


ガイドラインとISO27001やPCI DSS等のフレームワークとのマッピングは力作と思うが、フレームワーク側でマッピングから漏れた項目があるはず。それも併せて公開してもらえると、このガイドラインにどの程度網羅性があるかよくわかるはず。マッピング作業の中間成果物としてきっとマッピング対応表みたいなのを作られてると思うので、参考までに公開してもらえないだろうか。


あと、「ログイン回数によるアカウントロック」という対策は、1.0版の時は情報資産の重み「高」のものだけが「対策必須」だったのが、今回重み「中」のものについても対策必須になったらしい。WGでいろいろ議論してこうなったらしいのだが、その時の議事録とか残っているのだろうか。コンソーシアムのWebサイトをちょっとだけ探してみたがみつからず。対策が厳しくなったということは、実際の運用においてはそれだけ利便性も下がるし、金もかかるはず。それでも厳しくしないといけない時はやっぱりあるのは事実なのだが、どんな議論を経て今回変更することになったのか、議論の経緯も公開してもらえると、世のセキュリティ担当者の方々の参考になるのではなかろうか。