Date: Fri, 1 Dec 2006 23:27:30 +0900
From: 北川幹根 <who@example.com>
堀川さま、RESありがとうございました。
----- Original Message -----
From: "Akira Horikawa" <who@example.ne.jp>
To: <who@example.ne.jp>
Sent: Friday, December 01, 2006 6:31 PM
Subject: [ml-msde-beg:01883] RE: SQL インジェクション攻撃に対するログインアカウント
> データベースアプリケーションのセキュリティ対策は、SQLインジェクション
> 攻撃だけではありません。
>
> 例えば、Accessでサーバー側のテーブルのレコードを画面に表示しているときに、
> コピー+貼り付けで、エクセルのシートに貼り付けて、電子メールで送信されたら
> どうでしょうか?
>
> 一般的な社員が犯行に及ぶ場合、SQLインジェクションのような高度な知識を
> 使うことはまずありえません。
> レコードの貼り付けや、ファイルのコピー持ち出しが多いです。
おっしゃるとおりですね。
SQLインジェクションを心配するより、データの持ち出しリスクの方がはるかに高いと思います。
一般の人たちがデータを外へ持ち出せない仕組みや、システムが誤作動しない仕組みの方が優先順位は高いです。
リスクが小さい割に開発コストのかかるものについては、運用ルールでリスク回避するなど・・。
もう一度よく検討します。
ご助言ありがとうございました。
北川@自宅
| [MSDE/SQLServerに関して、今、どんなことにお困りですか?] |
| よろしければお困りの内容を、電子メールで教えて下さい。 |
|
質問を電子メールで作成する
|
[ウィンドを閉じる][MSDE/SQLServer FAQ ][MSDE / MSDE2000 技術サポート情報一覧]
|
