質問
IT統制のなかでは 特権に関しての管理は「特権IDは、全て特定された上で、極めて限定された適切な要員にのみ付与されているか。」と言っているだけで「消せ・無効に」とは言ってないと思います。
saのパスワードを変更して限定した管理者だけが知っていればよいと思います。(それだけでは不十分というなら名前を変更すればいいと思います) が
ただし、監査員によっては「わからず屋」がいて、投稿No.1611 のコメント(3)のようにとんでもないこと(「管理者がパスワードを知っていると なりすましの危険 がある」)を言うかもしれませんね。
特権アカウントにもいろいろ種類があって、例えばファイアウォール機器とか、
ルータとかは、デフォルトの管理者アカウントを残しておくのは危険だと
思われます。外部からの不特定多数のアタックを受ける可能性がありますからね。
しかしながら、投稿のようなRDBMSの場合とか、外部から直接アクセスが
出来ないものに関しては、パスワードをデフォルトのままにしておかなければ
十分と思います。(もちろんセキュアなパスワード要件を満たすことが前提ですが)
というわけで、外部から直接アクセス可能なものと、そうでないもので
分けて定義するのが落としどころだと思いますがいかがでしょうか。
質問
現在、あるタスクフォースでITセキュリティポリシーの改訂を検討しているのですが、
特権アカウントに関する規程を以下のようなものになる方向で進んでいるようなのです。
・デフォルトの特権アカウントは削除、または無効化する。
これって、例えばSQLServerだと sa を無効化しなきゃいけないってことに
なるかと思うのですが、そんなことして問題は起きないものでしょうか。
いままでは、sa を当たり前のようにDB管理者として使っていました。
(というか sa を無効化するという発想自体が無かったです)
もしかして、これってセキュリティ意識がかなり低いってことになるんでしょうかね?
パスワードを複雑にすれば、大丈夫な気がするんですが・・・。
漠然と、sa を無効化する行為ってなんとなく不安なんですが、
皆様のところではどうされてますか?
また、sa を無効化してトラブった例などありましたら教えていただけると嬉しいです。