ISMAP概要(監査編)。ISMAPの監査はどのようになされるか解説します。|サイボウズのセキュリティ室
ISMAP 概要(監査編)前回の記事では、ISMAP制度について紹介をさせていただきました。今回はISMAPを自社のクラウドサービスの利用基準として使えるか検討されている方、並びにISMAPクラウドサービスリスト(以下、単にリストとします。)への登録を目指すクラウドサービス事業者様に参考となるような監査の実際のところを解説したいと思います。 前回の記事(制度編)はこちら。 ポイントこの記事ではポイントを以下の3つに絞って解説します。 監査機関による監査を受ける必要がある 要求事項の多くは国際的な規格から抜粋されたものである 社内のルールと、ルールの運用状況が確認される 監査機関による監査リストに掲載されるためには、監査機関による監査を受ける必要があります。監査機関とは、どのような組織でしょう。 監査機関の要件監査機関になるためには、日本セキュリティ監査協会による評価を受ける必要があり、セキ
ISMAP概要(制度編)。クラウドサービスの安全性を評価する制度ISMAPの制度内容を中心に紹介します。|サイボウズのセキュリティ室|note
ISMAP概要(制度編)。クラウドサービスの安全性を評価する制度ISMAPの制度内容を中心に紹介します。 各政府機関がクラウドサービスを調達する際の基準として、2020年6月に運用を開始した「政府情報システムのためのセキュリティ評価制度(通称:ISMAP(イスマップと読みます))」を紹介します。DX推進のため、クラウドサービスを検討しておられる方に、わかりやすく制度概要をお伝えすることで、クラウドサービスを調達する際にISMAPクラウドサービスリストから選定することの有効性をお伝えします。また、ISMAPクラウドサービスリストへの登録を目指すクラウドサービス事業者様にも、ISMAP登録の検討材料になるように解説したいと思います。後編はこちらです。 「クラウド・バイ・デフォルト原則」とは?各政府機関が情報システムを新規に導入するときには、まずはクラウドサービスの利用を検討しましょう!という方
製品・プロダクトのセキュリティを守るチーム(PSIRT)は何をする?PSIRT Services Framework 紹介(後編)|サイボウズのセキュリティ室
中編 では、脆弱性の発見、トリアージ・分析について、紹介しました。今回は PSIRT 脆弱性に対応すること、脆弱性公開すること、PSIRT のトレーニングについて紹介します。より詳しく知りたい場合は、P本(日本語版)をお読みください。 前回の記事(中編)はこちらです↓ 対策対策とは、発見された脆弱性に対してパッチなどの対策版をリリースするすることや、特定のリクエストをブロックするなどの緩和策を公開するなどで脆弱性の影響を受けないようにすることです。 対策のマネジメント計画製品のライフサイクルを管理しましょう。どのような製品をリリースしているのか棚卸し、サポートモデル・サポート期間を把握して、どの製品の脆弱性の対策が必要なのか把握しましょう。 対策版の提供方法を把握しましょう。パッチの手動適用、自動アップデートなど、提供方法、適用形態を把握しましょう。 提供間隔を決めましょう。一定の間隔でメ
製品・プロダクトのセキュリティを守るチーム(PSIRT)は何をする?PSIRT Services Framework 紹介(中編)|サイボウズのセキュリティ室
前編 では、PSIRT のステークホルダ マネジメントについて、紹介しました。今回は PSIRT の実業務である、脆弱性を発見すること、脆弱性をトリアージと分析することについて紹介します。P本の日本語版は こちら です。 前編はこちらです↓ 脆弱性の発見脆弱性を攻撃者にみつけられ攻撃される前に、発見し対応することが製品のセキュリティ対策として重要です。どのように脆弱性を発見するのかサービス エリア 2 では、発見方法が記載されています。 窓口を準備する脆弱性を発見したセキュリティ研究者が迷わないよう、窓口を準備しましょう。窓口は、メールアドレスや Webフォームなどが考えられます。別の窓口(例えば、お客様窓口など)から連絡が来ることもあるので、PSIRT にエスカレーションされるようにしましょう。また、提出様式を定めておくことで、レポートを品質を保つことができます。(質の低いレポートは再現
製品・プロダクトのセキュリティを守るチーム(PSIRT)は何をする?PSIRT Services Framework 紹介(前編)|サイボウズのセキュリティ室|note
製品・プロダクトのセキュリティを守るチーム(PSIRT)は何をする?PSIRT Services Framework 紹介(前編) さまざまな製品・プロダクトがソフトウェアによって構成されています。ソフトウェアには脆弱性と呼ばれる不具合が含まれていることがあり、第三者から指摘を受けたり、攻撃を受ける場合があります。そのような製品に関するインシデントに対応するチーム(PSIRT)はどのようなことをしないといけないのでしょうか?PSIRT Services Framework が解説していますので、紹介します。 PSIRTとは?Product Security Incident Response Teams の略です。製品・プロダクトに関するセキュリティ インシデントに対応するチームで、さまざまな企業で設置が進み、話題となっているチームです。 PSIRT Services FrameworkP
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
