タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす
[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO
「AWS環境のセキュリティが不安だ…」そんな方にはセキュリティチェック!AWSでは定量的にチェックすることができる機能があります。いくつかあるので長短などを説明しつつ私が思う最強のセキュリティチェックを伝授します! こんにちは、臼田です。 みなさん、AWS環境のセキュリティチェックしてますか?(挨拶 全国のAWSのセキュリティについて悩んでいるみなさまのために、今回は僕の考える最強のAWS環境セキュリティチェックについて情報をまとめ・伝授します。 初心者向けに、比較的AWSの経験が浅くても始めやすいように、かつ上級者が応用するために活用できる情報もぜんぶまとめていきます。 この記事は2020年の決定版となるでしょう!(それ いいすぎ。 ながーくなってしまったので最初は適宜飛ばして読むといいかもしれません。 AWS環境のセキュリティチェックの意義 AWS環境でセキュリティチェックをすることは
![[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/46eee47df02797b1711e39b4cf67a6a7b8f87e53/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F10%2Fsuper_security_check_1200_630.png)
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? セキュリティチェックシートって大変ですよね 「契約締結目前で、今日もらったチェックシートを3日後までに出せば決まりです!」 「これNGだと契約できないんですけどなんとかならないですか?」 「(書いてもらったシートをレビュー中)え!?これOKじゃなくてNGですよ!?」 「書き始めたら8時間以上かかってるんですけどこれ無償対応なんですか・・・?」 っていうことありませんか!?ない!?良かったですね!!(血涙) ということで、結構セキュリティチェックシートで苦労しています。 過去にISMS認証を取得したときには「これでちょっとは楽になるな!よ
仕様起因の脆弱性を防ぐ!開発者向けセキュリティチェックシート(Markdown)を公開しました - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 これまで弊社ブログでは様々な「仕様とセキュリティ観点の解説記事」を発表してきました。今回はいままでの記事を改めて紹介しつつ、読者の皆様が開発中のサービスでセルフチェックを行えるよう「仕様とセキュリティ観点チェックリスト」を作成しました。ご活用いただけると幸いです。 ダウンロードは下記のGitHubリンクよりどうぞ。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専門のセキュリティエンジニアが調査するセキュリティ診断サービスを提供しています。料金に関する資料を配布中ですので、ご興味のある方は是非ご覧ください。 はじめに アプリケーションの仕様起因の脆弱性とは アプリケーションの仕様起因の脆弱性を防ぐために 仕様の脆弱性によく見られる共通点 1. ク
AWS ExpertOnline Nov2.2022
日本ではまだ黎明期であるVendor Risk Management(ベンダーリスクマネジメント)やクラウドサービスのセキュリティ運用管理について情報発信を行います! https://www.conoris.jp/
企業を狙ったサイバー攻撃は複雑化、巧妙化している。特にサプライチェーンを狙った攻撃は増加傾向にある。情報処理推進機構(IPA)が2023年2月28日に公開した「情報セキュリティ10大脅威 2023(組織)」では「サプライチェーンの脆弱(ぜいじゃく)性を悪用した攻撃」が第2位にランクインした。 サプライチェーンセキュリティ対策が難しいのは「自社だけでは守れない」ことだ。ビジネスが複雑化している中、サイバー攻撃者は中堅・中小企業のセキュリティ対策が十分ではない部分を突いてくる。これに対し、企業はどのように対策を講じるべきか。 アイティメディア主催のオンラインイベント「ITmedia Security Week 2023 春」に、業界のご意見番であるEGセキュアソリューションズの徳丸 浩氏(取締役CTO)が登壇。「古くて新しいサプライチェーンのセキュリティ問題、実のところどうすればよいか」と題す
社内導入の前のセキュリティチェックにご利用いただける、クラウドサービスの基本情報、規約関連、セキュリティ関連機能をまとめたデータベースです。
DeNAでのセキュリティチェックから分かるゲーム開発で作りがちなチートの穴 | BLOG - DeNA Engineering
こんにちは、技術統括部セキュリティ部セキュリティ技術グループの小川です。 今回は Shibuya.gamesec #2 にて発表した内容について、ブログ上で紹介していきたいと思います。ゲーム開発者の方がどのようなことに気を付けて開発をすると良いか、参考になれば幸いです。 DeNA におけるリリース前のチート・脆弱性診断 DeNA ではサービスの新規リリースやアップデートを行う前に、セキュリティ部がコードレビュー等を含むチート・脆弱性診断を行っています。公開する前に「その内容を世の中に出して安全か」を確認し、危険な箇所があれば指摘、安全な状態にしてからリリースをしています。 ここでは、このセキュリティチェックで過去発見・修正した脆弱性について集計し、どのような脆弱性がありがちかに触れていきます。集計対象はゲームアプリ・サーバーに関する脆弱性に限ります。しかし、一般的な統計情報として利用するた
セキュリティチェックシート、やっていますか?B2Bのサービスを提供している企業では、お客様にシステムを導入いただく際にセキュリティチェックシートを受領し、回答するケースも多いでしょう。私たちも主力事業の Teachme Biz を導入検討いただくお客様からセキュリティチェックシートをいただき回答することがあります。 セキュリティチェックシート、誰がやっていますか?私たちは直近では、開発組織内のマネージャー+SREチームが連携してセキュリティチェックシートを回答していました。これは後述するように回答にあたっての必要知識が広範であるためでした。 以下ブログでご紹介した記入の部分的な自動化と並行して、現在この回答体制を各プロダクト開発チーム(Stream-aligned team)主体に変更しようとしています。「You build it, you run it!」を体現するにあたって、セキュリテ
セキュリティチェックが捗る!AWS Security Hubで全リージョンのセキュリティ基準の結果を集約して見れるようになりました! | DevelopersIO
こんにちは、臼田です。 みなさん、AWSのセキュリティチェックやってますか?(挨拶 やったーついにキタ━━━━(゚∀゚)━━━━!! AWS Security Hubのセキュリティ基準が全リージョンまとめて一括でチェック出来るようになりました!こんな感じ! 右上のリージョンはAll Linked Regionsとなっていて、セキュリティスコアのコントロール単位のパーセンテージと項目単位の失敗割合も全リージョンから集まってきた値になりました! AWSのWhat's Newは以下です。 AWS Security Hub launches cross-Region security scores and compliance statuses もう少し背景から詳しく説明していきます。 背景 AWS Security HubはAWS上で最強のセキュリティチェックができるサービスです。「セキュリティ
PIXIV DEV MEETUP 2024当日の夕方にAquaステージ側におられた方は、「枕詞」についての語りから突然ボルテージ高くコールアンドレスポンスがはじまり、早口トークののちコールアンドレスポンスとともにドラが鳴るという発表を見た方も多くいらっしゃると思います。きっと言葉では言い表せないLT体験みたいなものを感じたのではないでしょうか。 申し遅れました。経営企画本部 経営企画補佐を務めております*1エンジニア職bashと申します。 ぜひこちらのじっくりとスライドを再読いただき、ポップな話に隠されたテック業界への問題提起とその解決について読み取っていただけるとうれしいです。 スライド この発表の経緯 世の中一般として「セキュリティチェックリスト」については大変だとか、記入を自動化できないかとか、そういう話題が多くあることにひっそりと心を痛めていました。 そこで私がセキュリティチェック
はじめまして、セキュリティチェックシートの一元化に取り組むサービス「Assured(アシュアード)」の事業責任者を務めている大森と申します。 準備期間を含め約2年以上にわたりセキュリティチェックの課題に向き合ってきたことから、本問題について、私見を述べられたらと思い、この記事を書いています。 何か少しでも、同じ問題意識を持たれている方のお役に立てれば幸いです。 そもそも、セキュリティチェックとはSaaS/ASPの利用(検討)企業様(以下、クラウド利用企業様)とSaaS/ASPの提供企業様(以下、クラウド事業者様)の間で行われる、セキュリティに関するリスク評価業務を指します。 ※広義には委託先管理全般で用いられる言葉ですが、本記事では上記に絞り書かせていただいています。 多くは、各クラウド利用企業様毎に保有する、EXCEL等で作成された質問表をクラウド事業者様との間でやり取りする形で行われま
Apple、macOS 11 Big Surでユーザーが実行したアプリの情報をチェックしているのはGatekeeperや公証のためで、2021年にはセキュリティチェック機能を改善するとコメント。
AppleがmacOS 11 Big Surでユーザーが実行したアプリの情報をチェックしているのはGatekeeperや公証のためだと説明し、2021年にはより強固なセキュリティチェックを導入するとコメントしています。詳細は以下から。 Appleが2020年11月より正式に提供を開始した「macOS 11 Big Sur」では、Beta段階から新たに導入されたNetworkExtensions APIsにホワイトリストが用意され、このリストに記載されているFaceTimeやシステムアップデートなどApple製の56アプリ/サービスのトラフィックはNetworkExtensions APIをバイパスしてファイヤーウォール系のアプリでチェックできない問題や、 ユーザーがいつアプリを起動したかや、アプリのハッシュ値(Unique ID)などを収集している問題などが確認され、セキュリティ界隈で話題
「経営者は守るべき情報を把握している?」から始まるチェックリスト 経済産業省の調査によると、技術が流出したと考えられる事例の流出経路として「取引先による流出」が過半数を占めているという。技術情報は事業者にとって競争力の源泉であり、技術情報の流出は共同研究などオープンイノベーションに取り組む際の課題になる。こうした背景もあり、同省は2018年に技術情報管理認証制度を創設した。 関連記事 システム運用は「全自動化」への過渡期 「設計」ができる人材が不可欠だ 2023年1月に開催された@IT主催オンラインイベント「『予算や人が足りない』からこそ『データ』に頼れ デジタルシフト時代、エンドユーザーの期待に応える運用変革」において、千葉工業大学教授の角田仁氏が基調講演「オペレーションからエンジニアリングへ~運用管理の誤解を解き、仕組みと人材を革新して『過渡期の時代』を乗り切ろう~」と題して講演した。
mobsfscanとGithub Actionsによるモバイルアプリの継続的セキュリティチェック - Pepabo Tech Portal
こんにちは、EC事業部事業領域拡大チーム所属のTatsumi0000です!業務ではAndroidアプリ開発をメインに、時々iOSアプリの開発をしています。 EC事業部では、Chapterという活動をしています。Chapterとは、事業部内のチームを横断した組織で、フロントエンド、バックエンド、セキュリティなど、様々なChapterが存在しています(詳細については、後述します)。その中でも私はセキュリティChapterに参加し、Chapterのメンバーと一緒にいろいろな活動をしてきました。 この記事では、EC事業部で行っているChapterと、セキュリティChapterの活動の一環として、mobsfscanをgithub.comのGitHub Actionsで試した話について紹介します。 EC事業部のChapterとは mobsfscanをGitHub Actionsで試した おわりに EC
LLMを活用したサービスを社内外でリリース・運用した経験のある3社のエンジニアが登壇し、実運用を経たからこそ見えた課題やその解決策、運用を見据えた設計・実装の知見などについて語る「LLM in Practice -3社の実例から見るLLM活用サービスを運用した課題と学び -」。ここで株式会社LayerXの白井氏が登壇。「セキュリティチェックシート」をLLMに回答させる取り組みについて紹介します。 白井氏の自己紹介白井仁美氏(以下、白井):「LayerX Biz Boost 〜セキュリティチェックシート一次回答の取り組み〜」と題して、LayerXの白井から発表します。 自己紹介です。ハンドルネームは「yakipudding」で活動しています。2023年3月にLayerXに転職してきて、機械学習エンジニアをやっています。 LayerXは法人向け支出管理サービス「バクラク」シリーズを提供している
新型コロナウイルスの感染拡大及び緊急事態宣言の発令に伴い、多くの企業・組織でテレワークを実施していると思います。そのため、端末や外部記憶媒体を家に持って帰ったり、それまで許可していなかった私物端末の業務利用を一時的に許可したりして対応しているのでないでしょうか。 しかし、一般家庭におけるネットワーク環境は、企業・組織などのオフィス内のネットワーク環境と比較すると、外部からの攻撃に対してセキュリティ対策レベルが低いと考えられます。政府の緊急事態宣言の解除に伴い、順次、テレワークから通常のオフィス勤務に戻っていく際に、仮に自宅でマルウェア等に感染してしまった端末や外部記憶媒体を無防備に企業内ネットワークに接続してしまうと、企業内でマルウェア感染が拡大してしまう事態が懸念されます。また、今回の強引なテレワークの実現により、企業・組織におけるオフィス勤務の必然性を見直す好機となったことから、これか
休暇中に被害に遭わないために ~お休み前のセキュリティ チェック~ | MSRC Blog | Microsoft Security Response Center
This blog post is older than a year. The information provided below may be outdated. 日本では年末年始は多くの方が休暇になり、企業組織の業務はおやすみになります。しかしながら、サイバー犯罪者は必ずしも休みではありません。また、休暇中のちょっとしたメールチェックや急に業務をする必要が出た場合や、休暇明けの仕事始めは、PC の状態やご自身の頭が普段とは違う動きをして、予期せぬセキュリティ被害にあったり、ミスによるセキュリティ事故を起こしたりしやすい環境でもあります。休暇に入る前や休暇が明けたあとは、ひとりひとりが自分の使っている PC 環境をぜひ確認しておきましょう。(注意: 所属の企業・組織で、PC のログオフや電源管理について指示がある場合はそちらに従いましょう) 休暇前のセキュリティ チェック ポイント
株式会社miiboの高倉です。 おかげさまで、miiboは個人ユーザーだけでなくエンタープライズ企業でも導入が進み始めています!そこで新しく悩むことになったのは、お客様各社ごとにフォーマットが異なる「セキュリティチェックシート」への回答です。ソフトウェアを提供する企業ではこのセキュリティチェックシートへの対応に悩んでいる方も多いのではないでしょうか。まさに、私はmiiboのセキュリティチェックをバックオフィスの立場で対応しています(非エンジニアです)。 そこで今回は、過去に聞かれたセキュリティチェック項目とその回答を学習させた「セキュリティチェックAI」を作成しました! セキュリティチェックシートの対応、皆さんも頭を悩ませていませんか?膨大な質問項目、各社異なるフォーマット、技術的な確認事項...。この記事では、そんな悩みをAIの力で解決する方法をご紹介します!1週間くらいで簡単にできたの
セキュリティチェックツール「Microsoft Baseline Security Analyzer(MBSA)」を継ぐものは?
山市良のうぃんどうず日記 MBSAの開発とダウンロード提供は数年前に既に終了 Microsoftが提供していた「Microsoft Baseline Security Analyzer(MBSA)」は、ローカルまたはリモートのWindows PCのセキュリティ更新プログラム適用状況や不適切なセキュリティ構成をスキャンしてレポートしてくれるツールでした。 最初のMBSAは「Windows 2000」以降に対応し、Windows Updateや「Windows Server Update Services(WSUS)」をオンラインで利用できない状況でも実行でき、全てのセキュリティ更新プログラムと推奨セキュリティ設定が企業内で維持されているかどうかをチェックできました(画面1)。 MBSAの用途について説明している以下のドキュメントでは、「Windows 8.1」および「Windows Serv
TerraformコードのセキュリティチェックでCheckovをGitHub Actionsに組み込んでみた - のぴぴのメモ
はじめに Checkovとは ローカルPCでの使い方 インストール (留意事項)レベルアップ 静的解析のやりかた 静的解析の実行方法 指摘事項のスキップ方法(Terraformのオブジェクト単位) 指摘事項のスキップ方法(ルール単位) GitHub ActionsへのCheckovの組み込み はじめに Terraformコードのセキュリティーチェックを行う必要があり、IaC用の静的コード解析ツールであるcheckovをGitHub ActionsのCIに組み込んでみた時のメモです。 最初にcheckovをローカルで実行する場合のやりかたを説明して、最後にActionsへの組み込み方法を説明します。 Checkovとは Checkovは、Infrastracture as code(IaC)コード用の静的コード解析ツールです。Checkovを利用することで、セキュリティやコンプライアンスの問
IaC Security入門 ~tfsecを用いたTerraformファイルのセキュリティチェック~ | IIJ Engineers Blog
2018年新卒入社し、SOCにてインフラ管理を担当。その後、マルウェア解析や検証業務などに従事。2022年度からは、社内のSREチームにて兼務を開始。主な保持資格は、CISSP, OSCP, GREM, GXPN, RISS, CKA, CKSなど。バイナリを読むのが好きで、一番好きな命令はx86の0x90(NOP命令)。 はじめに Infrastrucutre as Codeは、インフラの構成情報をコードとして管理するという取り組み・概念です。最近、といっても結構前からですが、このコード自体のセキュリティもチェックしようという動きがあります。それは、IaC Securityと呼ばれます。今回は、IaC Securityの入門として、Terraformを題材にセキュリティチェックを行うことができるtfsecを紹介します。 普段SOCでマルウェア解析をしている私は、兼務として社内のSREチー
先日、サイボウズがクラウドリスク評価「Assured(アシュアード)」を活用し、セキュリティ情報の開示を開始した。今回、サイボウズ 代表取締役社長の青野慶久氏、同 システムコンサルティング本部 ソリューションエンジニアリング部長の萩澤佑樹氏、Visionalグループであるアシュアード 代表取締役社長の大森厚志氏に、日本におけるセキュリティチェックシートのどこに問題があり課題なのか、そして今後に向けた提言などについて話を聞いた。 クラウドの利用拡大で増加するセキュリティチェックシート 企業では、ITシステムを導入する際に必要なセキュリティや可用性などの事項をリスト化し、導入企業のセキュリティポリシーを満たしているかチェックを行うが、その際に用いるリストがセキュリティチェックシートだ。 近年、急速なクラウドの利用拡大に伴い、ベンダーとクラウド利用事業者間における煩雑なセキュリティチェックシート
[アップデート]Security Hubが AWS Organizations と統合!組織内セキュリティチェック環境を簡単にセットアップ/管理できるようになりました | DevelopersIO
はじめに 待ち望んでいたアップデートです。 Security Hubの Organizations 組織内 セットアップ/管理がより簡単になりました。 何が嬉しいか 今まで Security Hub は(Organizations 関係なく) マルチアカウント利用が可能でした。 マスターアカウント/メンバーアカウントの関係を作ることで、 マスターアカウントの Security Hub 上で メンバーアカウント分のセキュリティチェック(検出結果)を確認・操作できます。 しかし、マスターアカウント/メンバーアカウントの関係を作るには 事前にメンバーアカウントでも Security Hubを有効化しておく マスターアカウントが各メンバーアカウントへ招待を送る 各メンバーアカウントがその招待を受諾する 上記プロセスを経て実現していました。 AWS Organizations など利用しているような
![[アップデート]Security Hubが AWS Organizations と統合!組織内セキュリティチェック環境を簡単にセットアップ/管理できるようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d2c2cbb34cdcda62e4504734b6e345b95ceca145/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F04%2Faws-organizations.png)
こんにちは、上野です。 Infrastructure as Code (IaC) 、みなさん楽しんでおりますでしょうか。前から気になっていたcdk-nagを試してみたので、その紹介となります。 cdk-nagとは AWS Cloud Development Kit (AWS CDK) で作成する各Constructが、与えられたセキュリティ・コンプライアンスルール群に準拠しているかどうか検証してくれるツールです。CloudFormationテンプレートのセキュリティチェックツールである、cfn-nagに影響を受け作成されています。現時点では以下のルール群が提供されています。 AWS Solutions HIPAA Security NIST 800-53 rev 4 NIST 800-53 rev 5 PCI DSS 3.2.1 GitHubリポジトリで公開されており、AWS公式ブログでも
セキュリティチェックシート回答の負担を軽減する6つの方法 | セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
業務委託を受けるときやサービスの利用申し込みがあった際、「弊社ではISMS(もしくはPマーク)を取得しているため、取引先にはセキュリティチェックシートへのご回答をお願いしております。」といったメール文面とともに、ExcelやWordで作成されたファイルが送られてきた経験のある方、多いのではないでしょうか。 セキュリティチェックシートは、取引先のセキュリティ状況を把握する上でとても重要なものですが、一方で 会社ごとに形式がまちまちでわかりづらい 質問の意味がわからず回答しづらい 専門知識が問われるため、各部署と連携せねばならず面倒 といったように、苦痛を感じられている方も多いです。 そこで、以下では「セキュリティチェックシートを回答するのが面倒!」という方向けの対応方法をご紹介します。 また、そのほかにも委託先管理にまつわる疑問やお悩みについて、こちらの記事でご紹介しています。あわせてお読み
【告知】2022年6月20日(月) 18時よりTwitterスペースで座談会「セキュリティチェックシートをなんとかしよう!@SAJ」を開催しました。SAJ会長でもある、さくらインターネット田中社長に加え、Assured大森さん、Conoris井上さんも参加。録音したものを聞けますのでどうぞ! はじめに ソフトウェア協会(SAJ)で筆頭副会長を務めている青野慶久と申します。普段はサイボウズ社の代表をしています。 この度、IT業界で慣習となっている「セキュリティチェックシート」について、問題提起と課題の提案をさせていただきます。 概要「セキュリティチェックシート」とは、ITサービスのリスクを評価するために使われるチェック表です。 例えば、ある企業でクラウドサービスを導入するとき、提供者(ベンダー)のサービスが自社のセキュリティ基準に合致しているかどうかを確認(リスクを評価)するために、自社で作
2022年6月16日、サイボウズの青野代表が「セキュリティチェックシートが抱える問題点」についてツイートしたところ、とても大きな反響がありました。本連載(全5回)では、セキュリティチェックシートの問題点を洗いだしながら、「クラウドサービスを利用するためのリスク評価とコントロール」について解説します。 とある先進的な大企業のエグゼクティブとお話した際、「さまざまなリスクがあるにもかかわらず、なぜクラウドサービスの利用をポジティブに認めているのですか」と質問したところ、「優秀な人が入社して、定着して活躍してもらうために必要だから」という回答をもらい面食らいました。 クラウドシフトが生産性や売上を上げるだけでなく、従業員の定着や活躍につながるという考えはそれまでの私にはない視点でした。日本企業が労働生産性を上げ国際競争力を高めるためには、クラウドの活用は不可欠であると思わざるを得ませんでした。
2022年6月、「セキュリティチェックシートが抱える問題点」がSNSで大きな話題になった。本稿では改めて問題を振り返り、SaaSを活用して解決を目指す方法を解説する。 「機密データは適切な方法で暗号化して保存していますか」「不正アクセスやマルウェア感染を防ぐためにどのような対策を講じていますか」――。SaaSをはじめとするクラウドサービスの導入検討に当たって、このような質問を数十、時には数百項目も並べた「セキュリティチェックシート」への回答をクラウドサービスベンダーに求めるのが一般的だ。新たなサービスを導入するたびに情報システム担当者は回答項目のチェックに追われる。 クラウドの活用はIT部門の負荷を下げると言われるが、実際には導入検討のたびにセキュリティ担当者が似たような項目が並ぶ「セキュリティチェックシート」のやりとりを繰り返しており、生産性が高いとは言えない状況だ。 Conoris T
Conoris-セキュリティチェック支援
ラクに、安心、安全な、 セキュリティチェックをクラウドサービスセキュリティチェック支援サービスConoris
Checkov + GitHubActionsでTerraform静的セキュリティチェックをする : yutaka0m blog
Checkovは、TerraformまたはCloudformationのための静的セキュリティ解析ツールです。 Pythonで記述されているため、pip install checkovでインストールし、CLIとして実行が可能です。 毎度ローカルで実行するのも手間なので、GitHubActionsを使い、プルリクエストのたびにセキュリティチェックを実施するサンプルを作成していきます。 Actionの定義 GitHubリポジトリで、Actions -> Set up a workflow yourselfを選択すると、GitHub Actionsの編集画面が表示されます。 エディタに次のコードを書き、保存します。 checkov.yaml name: Checkov on: push: branches: [ master ] pull_request: branches: [ master
SecureNaviは7月26日、企業のセキュリティチェックに関する実態調査の結果を発表した。同調査は、企業のセキュリティ認証への取り組みが、セキュリティチェックシートの回答に与える影響を分析することを目的としたもので、2022年5月24日~2022年5月26日にかけて3005名を対象に調査が実施された。 調査結果の詳細は、同日に公開された「セキュリティチェックシートとセキュリティ認証に関する調査レポート」にまとめられている(レポートは、ITサービス導入における役割のうち、最終決裁者とセキュリティチェック担当を選択した対象者2194名を抽出して作成している)。 取引先や業務の委託先企業が、情報セキュリティに対する対策をどの程度行っているか確認するセキュリティチェックについての調査のうち、「Q. ITシステムの開発・運用の外注や、ITサービス(クラウドサービスを含む)の導入を行う際、事前に委
クラウドリスク評価「Assured(アシュアード)」、クラウドサービス事業者のセキュリティチェック対応を効率化するサービス(無料)を開始
クラウドリスク評価「Assured(アシュアード)」、クラウドサービス事業者のセキュリティチェック対応を効率化するサービス(無料)を開始独自の情報共有機能で特許取得。個別対応件数が半分以上削減した事例も Visionalグループのビジョナル・インキュベーション株式会社(所在地:東京都渋谷区/代表取締役社長:村田 聡)が運営するクラウドリスク評価「Assured(アシュアード)」(https://assured.jp/ja/provider/)は、クラウドサービス事業者のセキュリティチェック対応を効率化するサービスを2022年2月15日(火)に正式リリースし、無料で提供を開始します。また、クラウドサービス事業者が、自社サービスのセキュリティ情報の公開範囲を設定できる独自機能で特許を取得したことをお知らせします。 クラウドリスク評価「Assured(アシュアード)」について Assuredは、
多様な働き方を認める取り組みとして、浸透が進んでいるテレワーク。 従業員にとっての働きやすさの実現と、企業の成果につながるテレワークの実現には、万全なセキュリティ対策が不可欠です。 この資料では、以下の3つの立場にとって必要なセキュリティ対策を、それぞれ20項目のチェックリストにまとめました。 ■経営者・管理職層 ■情報・システム管理担当者 ■テレワークで働く従業員 テレワーク導入を検討している方、または、すでに実施しているテレワークの安全性を強化したい方は、ぜひ参考にしてください。
ISO/IEC27001、IPAに沿ったテンプレートの利用や、御社の独自基準のセキュリティチェックシートを委託先に共有するだけ 案件単位で委託先の回答状況や過去結果を管理できる他、企業のISMS認証やPマークの状況、ポリシーを自動で監視しリスクを可視化します
2010年以降、あらゆる企業がクラウドサービスを採用する動きが加速しました。 企業がクラウド採用をするはじめの目的はシステムの導入コストを削減できる期待でした。ただ、クラウドはサービスの利用料が発生するので、長期間利用すると、トータルコストはオンプレミス(自社サーバにシステムを導入する形態)と、比較してあまりメリットがありません。 それでもクラウドサービスを採用する企業が多いのは、オンプレミスよりもずっと短期間で、システムを利用することができるからです。自社開発をするシステムでも、IaaS(アイアース)のクラウドを採用することで、ネットワーク経由で、ハードウェアやOSを、必要なときに必要な分だけ利用できます。PaaS(パース)で提供されたプラットフォームを使えば、アプリケーション開発も楽になります。SaaS(サース)型であればシステムの利用までの期間が短縮できます。 採用メリットの大きなク
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティーチェックシートという闇への防衛術 - Qiita
たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita
セキュリティチェックシートの書き方のヒント
日本と海外のクラウドサービスのセキュリティチェックシートの現状と課題|Conoris VRM Labo
「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”
クラウドサービスセキュリティチェックDB | マネーフォワード Admina
SaaSのセキュリティチェックシート記入にあたって何を知る必要があるか
みんな大好き 🫶🏼 取引先との「セキュリティチェックリスト」への付き合い方 - pixiv inside
なぜ、セキュリティチェックシートはなくならないのか|大森厚志
初級者でも分かる「情報セキュリティチェックリスト」を経済産業省が公開
セキュリティチェックシートに回答する“つらみ”はLLMで解消 セキュリティ担当者に「本格運用できるんじゃない?」と言わせた仕組み | ログミーBusiness
緊急事態宣言解除後のセキュリティ・チェックリスト | 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
AIで超効率化!ソフトウェア企業を悩ませるセキュリティチェックシート|takakura
マネーフォワードi、SaaS導入時のセキュリティ・法務確認を支援する「クラウドサービスセキュリティチェックDB」を公開
「セキュリティチェックシートの問題を解決すべき」 - サイボウズ 青野社長
「Adobe Acrobat Reader」がセキュリティチェックをブロックか ~イスラエルの会社が指摘/セキュリティソフトのDLLインジェクションを無効化
cdk-nagを使用したAWS CDKのセキュリティチェック ~基本編~ - NRIネットコムBlog
LINEでセキュリティチェック、リンクを貼るだけで危険度を判定する「ウイルスバスター チェック!」 トレンドマイクロが無償提供、個人情報の流出状況も確認可能
セキュリティチェックシート問題を解決するための大まかな課題設定|青野慶久
複雑化する「セキュリティチェックシート」の問題 情シス目線で現状とリスクを整理
アナログ過ぎる「セキュリティチェックシート」チェック問題 導入担当者の負荷は軽減できるか
セキュリティチェックで重視する項目は「セキュリティ認証の取得の有無」
テレワーク導入を成功させる20のセキュリティチェックリスト | 働き方改革ラボ | リコー
セキチク | 委託先のセキュリティチェックをクラウドで一元管理
クラウドサービス利用のための情報セキュリティチェック - 叡智の三猿
note.com/kakeyang
giftee.co.jp
media.propertyplus.jp
yo-hemmi.net
detail.chiebukuro.yahoo.co.jp
note.com/shin_akagi