それよりも問題はポリシーがあるのに違反してた、ということだと思いますね。ポリシーはそもそも、こういうしょぼい事態に陥らないようにするために設定されるルールですからねえ。そこを最後の砦とするなら、ポリシー違反を検出できるような手立ても必要かなあと思ったりしてますです。

パスワードクラッキング - 極楽せきゅあ日記

sonodamさんのこれを見て「テストドリブンなセキュリティ」というのを思いつきました（といっても、きっと誰かがすでに考えているはず）。
要するに「ポリシー××に違反していたらこういう方法でクラックされるはず」というような項目をプログラムの形で一式用意し、それを定期的に走らせるというもの。
はっ、それが監査というものか。
それはさておき。

• http://d.hatena.ne.jp/sonodam/20070317/p2

のコメント欄での高木さんの煽りと園田さんの受け流しのやりとりが楽しい。ネットですねえ。
といいつつ、園田さんの書籍の宣伝に貢献。
自分の本も宣伝しておこう。
追記：

• テストドリブンなセキュリティ