SOFTWARE ISAC

2020年12月に公開したソフトウェア出荷判定セキュリティ基準チェックリスト Ver.1.2と、経産省/IPA 情報システム開発契約のセキュリティ仕様作成のためのガイドライン Windows Active Directory編のWebinarを開催しました。

• DOWNLOAD

ユーザー企業とITベンダーがコミュニケーションしながらセキュリティ仕様を策定するプロセスを解説した 「セキュリティ仕様策定プロセス」と、セキュリティ仕様の検討を技術的に支援するため、 より具体的な表現で実装方法を参照可能な公表情報としての「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」が公表されました。

同ガイドラインでは、Windows Active Directory環境を対象としてOS、デスクトップアプリ、ブラウザーのセキュリティ設定を具体的に示しています。 最新のサイバー攻撃の実態や対応策を記載しているため、今後も状況に応じて対応策や設定値を追加するなど、改訂をSoftwre ISACが続けていきます。

• DOWNLOAD セキュリティ仕様策定プロセス（Word）
• MOVE ガイドライン

Software ISAC は、セキュリティ要件の定義を効率よくするための取り組みを行っています。 昨年は PSIRT Framework の日本語版をリリースしましたが、今年は、OWASP JAPAN チャプターの協力を得て AVSV4.0 日本語版をリリースしました。 引き続き、セキュリティ関連の重要なコンテンツの日本語化に取り組んでまいります。

• More
• DOWNLOAD

Software ISAC PSIRT推進WGでは、「PSIRT Maturity Document」をもとに、各組織の製品セキュリティ・インシデント対応チーム (PSIRT) の成熟度を評価するためのシート「PSIRT成熟度評価シート」を作成しました。 プログラム開発事業やソフトウェア販売等に関わる企業において、製品の脆弱性管理は重要な課題となってきました。この「PSIRT成熟度評価シート」は、自社開発製品または自社販売製品に関する脆弱性管理を課題として扱い始めた組織、または製品セキュリティ・インシデント対応チーム（PSIRT）の設立を進めている組織、もしくは PSIRT業務の品質の向上を目的に、現状の評価や課題の洗い出し、また組織の PSIRT業務の成熟度を取引企業に公開し、信頼を獲得するための材料として利用いただきたいものです。 ■利用の仕方 PSIRT成熟度評価シートの各項目の内容を確認いただき、達成できている項目については「○」を入力してください。 レベル1の項目すべてに「○」が付けば、PSIRTの成熟度は「レベル2」と判定されます。 また同様にレベル1およびレベル2の項目すべてに「○」が付けば「レベル3」と判定されます。 低いレベルの項目に○が付くよう行動計画を立てることで、PSIRTの成熟度が上がっていきます。 評価後に、エクセルシートを PDF で書き出ししていただくことで、外部に公開可能なPSIRT成熟度評価シートを作成することができます。

• DOWNLOAD

Title:IoT時代のゼロデイ攻撃と防御　受け入れ必至 “Zero Trust” とは

株式会社ラック　サイバー・グリッド・ジャパン サイバー・グリッド研究所所長 仲上 竜太 氏から、IoT時代に直面するゼロデイ攻撃とその防御、そして新しいセキュリティパラダイムであるゼロトラストとは。サプライチェーン・リスクに端を発するSociety5.0時代の情報資産の守り方について紹介を頂きました。

• DOWNLOAD

Title:IoT時代に必要なPSIRTとその役割

グローバルセキュリティエキスパート株式会社 CSO 兼 CSRO 萩原 健太氏から、進化する攻撃や複雑化する製品・サービスにおいて、企業規模に関わらず、コンポーネントの管理は重要度が増している中、昨今のソフトウェア管理に関する国内外の動向や求められる対応までを解説頂きました。

• DOWNLOAD

Title:IoT時代におけるセキュリティ対応態勢のありかた　- シフトレフトする攻撃に生き残れ！-

開発の上流工程にマルウェアを送り込む悪意ある攻撃が試みられていますが、こうした「攻撃のシフトレフト」に対抗するため、自社製品やサービス提供におけるインシデントに対応する「PSIRT（Product Security Incident Response Team）」に注目が集まっています。第一線のPSIRT/CSIRT担当者とコンサルタントがインシデントに強い実践的PSIRTについてパネルディスカッションを行いました。

ファシリテーター： 板東　直樹 氏（アップデートテクノロジー株式会社　代表取締役社長）

パネリスト：明尾　洋一 氏（サイボウズ株式会社　セキュリティ室　室長）

パネリスト：垣内　由梨香 氏（マイクロソフトコーポレーション　カスタマーサービスアンドサポート セキュリティレスポンスチーム　セキュリティプログラムマネージャー）

パネリスト：加藤　智巳 氏（株式会社ラック　サイバー・グリッド・ジャパン理事, シニアコンサルタント）

• DOWNLOAD

Software ISACに参画する、サイボウズ株式会社、トレンドマイクロ株式会社そして本作業の協力や調整支援を頂いた 一般社団法人 JPCERT コーディネーションセンターの３組織で実施した「PSIRT Services Framework 1.0 Draft」の日本語翻訳文書を公開しました。

IoT の浸透により社会の在り方が急速に変化しています。それと同時に IoT 機器やソフトウェアの脆弱性を突いたセキュリティ事故も 発生するようになりました。IoT 機器やソフトウェアの開発ベンダーは、製品・サービスの修正や改善をこれまで以上の頻度、速度で行う必要性があり、対応 組織の設置・強化が望まれています。

「Product Security Incident Response/Readiness Team（PSIRT）」とは、各組織で提供している製品やサービスに係る脆弱性対応やインシデント対応、また品質管理や向上を目的とした組織で、 国内でも徐々に設置が進んでいますが、その構築や運用のノウハウは国内にはまだまだ多くありません。

「PSIRT Services Framework 1.0 」は、FIRST（Forum of Incident Response and Security Teams）が提供するフレームワークで、PSIRT を構築する方法や必要な機能・資源をはじめ、運用に係る情報などが記載されています。

• Move