4.5 システムが扱う資産の検討
セキュアなシステムを検討するには,システムが扱う資産(データ)のうち,保護する必要がある資産にはどのようなものがあるのかを明確に判断する必要があります。
このシステムでは,システムが扱う資産(データ)のうち,次の資産を保護する必要があると判断しています。
-
システム管理者のユーザ情報
-
エンドユーザのユーザ情報
-
システム構築時の設定ファイル
-
J2EEアプリケーション
-
サービスを利用する中でエンドユーザが送信して,J2EEアプリケーションが処理した情報
-
監査ログ
保護する必要があると判断した資産については,使用できる権限を制御するなどの対策が必要です。対策の詳細については,「4.8 対策の検討」を参照してください。