脆弱性のいろいろ

とりあえずすぐ出てこなかった用語

• 社会工学的手法(ソーシャル「ハッキング」とは言いたくないからな)
• ディレクトリトラバーサル

リスク分析について

• CIA (機密性/完全性/可用性)
• 重要性の評価と脆弱性の評価をごっちゃにしない
• 可用性についてはバックアップからの復旧手順も

内部統制

• 異動や退職にともなうアクセス権限の更新
• 権限を持ったものがIDやパスワードを適切に管理しているか

リスク分析後、実際に対策をとるかは費用対効果を考えて