「OWASP Top 10」をはじめ、業界標準ガイドラインの改訂相次ぐ

事後対応に重きを置いた「サイバーセキュリティ経営ガイドライン」 経済産業省は2017年11月16日に「サイバーセキュリティ経営ガイドライン」の改訂版を発表した。メッセージは当初から一貫している。サイバーセキュリティを経営課題の1つとしてとらえ、「技術者任せ」「現場任せ」ではなく、経営者が責任を持って取り組んでほしい、というものだ。 ガイドラインではかねて、サイバー攻撃に備えた「防御」だけでなく、攻撃を受けた場合に備えた「対応」「復旧」にも目を向けている。事後対応にも重点を置くよう推奨してきた。Ver 2.0ではこの方針が一層鮮明になったことが特徴だ。併せて、ビジネスパートナーや委託先なども含めた「サプライチェーン全体の対策強化」に関する項目を追加した。 経済産業省のガイドラインに対しては、旧版の公開当初からさまざまな反響があった。11月に公開された改訂版ではそうした声を踏まえ、より具体的な

[airj12]

XSSとCSRFは対策が進んだって事なのかな

[yuu-sss]

有名どころのガイドラインがまとまってる。

[deep_one]

XXEがちょっと機構が分からない…調べた。パスワードファイルの読み込みみたいな奴だった。なるほど、それは色々やばい。W3C Schemaにしとけば実体宣言は書けない。

[isrc]

「安全でないデシリアライゼーション」「不十分なロギングとモニタリング」といった項目は、ソフトウェア開発の前工程で、最初から盛り込んでおかなければ解決できない。