目的・概要
安心・安全な日本のために
セキュア開発や脆弱性管理の工数最適化や、ソフトウェアサプライチェーンの強靭化の研究を行い、安心・安全な日本への貢献を行う開発者のための情報交換基盤を提供します。
PSIRT Service Framework の普及や展開、早期警戒パートナーシップガイドラインなど、PSIRTに必要な国内外の関連文書の紹介を通じて、活動事例の共有を行なっています。
主査:明尾 洋一(サイボウズ)
セキュア開発を実現するための情報共有、セキュアコーディングガイドラインの策定を通じて、シフトレストを推進しています。
主査:垣内 由梨香(Microsoft)
OSS の汚染や侵害の調査・研究、SBOM の研究を通じて、安全な OSS の普及を推進しています。
主査:萩原 健太(GSX)
IPA社会基盤センター モデル取引・契約書見直し検討部会WG1配下のセキュリティ検討PTの事務局として、MITRE ATT&CK、OWASP ASVSに基づくセキュリティガイドラインを策定しています。
主査:加藤智巳(LAC)
新着情報
2021年2月2日
各種報道のとおり、ソフトウェアのソースコードをホスティングするクラウドサービス「GitHub」において、大手金融機関の業務システムのソースコードの一部が公開されていた事象が発生しました。
クラウドサービスにおいては、情報の公開範囲などの設定の誤りが、セキュリティインシデントにつながることがあり、利用においては十分な配慮が必要です。
その上で、クラウドは危険であるので使わせないという判断にならないよう、GitHubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請するものであります。
ソフトウェアの世界においては、比較的新しい技術であることから、リスク面に過度に注目し、便益が損なわれることが見うけられますが、本来であればソフトウェアのリスクを理解して、学び、教育させ、活用することが、何より重要です。
情報セキュリティへの配慮や、クラウドサービスのリスク管理をしっかりと行うとともに、活用に萎縮や便益を損なうことのないよう、改めて各社の取り組みをお願いします。
緊急注意喚起
2020年12月13日に米国のセキュリティベンダーFireEye社は、SolarWinds社の商用アプリケーションを利用した極めて高度なサイバー攻撃が発見されたと発表しました。
この攻撃は極めて巧妙で2019年12月から始まり、長期間に渡って社内情報やクラウドの電子メール、ストレージから情報を窃取していたことが判明しています。
同様の攻撃が日本国内でも発生しうる可能性が高いと判断し、緊急注意喚起を行います。
活動報告
2021.01.14
2020年12月に公開したソフトウェア出荷判定セキュリティ基準チェックリスト Ver.1.2と、経産省/IPA 情報システム開発契約のセキュリティ仕様作成のためのガイドライン Windows Active Directory編のWebinarを開催しました。
2020年12月22日
ユーザー企業とITベンダーがコミュニケーションしながらセキュリティ仕様を策定するプロセスを解説した 「セキュリティ仕様策定プロセス」と、セキュリティ仕様の検討を技術的に支援するため、 より具体的な表現で実装方法を参照可能な公表情報としての「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」が公表されました。
同ガイドラインでは、Windows Active Directory環境を対象としてOS、デスクトップアプリ、ブラウザーのセキュリティ設定を具体的に示しています。 最新のサイバー攻撃の実態や対応策を記載しているため、今後も状況に応じて対応策や設定値を追加するなど、改訂をSoftwre ISACが続けていきます。
2020.08.15
2020.03.12
Software ISAC PSIRT推進WGでは、「PSIRT Maturity Document」をもとに、各組織の製品セキュリティ・インシデント対応チーム (PSIRT) の成熟度を評価するためのシート「PSIRT成熟度評価シート」を作成しました。 プログラム開発事業やソフトウェア販売等に関わる企業において、製品の脆弱性管理は重要な課題となってきました。この「PSIRT成熟度評価シート」は、自社開発製品または自社販売製品に関する脆弱性管理を課題として扱い始めた組織、または製品セキュリティ・インシデント対応チーム(PSIRT)の設立を進めている組織、もしくは PSIRT業務の品質の向上を目的に、現状の評価や課題の洗い出し、また組織の PSIRT業務の成熟度を取引企業に公開し、信頼を獲得するための材料として利用いただきたいものです。 ■利用の仕方 PSIRT成熟度評価シートの各項目の内容を確認いただき、達成できている項目については「○」を入力してください。 レベル1の項目すべてに「○」が付けば、PSIRTの成熟度は「レベル2」と判定されます。 また同様にレベル1およびレベル2の項目すべてに「○」が付けば「レベル3」と判定されます。 低いレベルの項目に○が付くよう行動計画を立てることで、PSIRTの成熟度が上がっていきます。 評価後に、エクセルシートを PDF で書き出ししていただくことで、外部に公開可能なPSIRT成熟度評価シートを作成することができます。
2019.11.01
株式会社ラック サイバー・グリッド・ジャパン サイバー・グリッド研究所所長 仲上 竜太 氏から、IoT時代に直面するゼロデイ攻撃とその防御、そして新しいセキュリティパラダイムであるゼロトラストとは。サプライチェーン・リスクに端を発するSociety5.0時代の情報資産の守り方について紹介を頂きました。
2019.11.01
グローバルセキュリティエキスパート株式会社 CSO 兼 CSRO 萩原 健太氏から、進化する攻撃や複雑化する製品・サービスにおいて、企業規模に関わらず、コンポーネントの管理は重要度が増している中、昨今のソフトウェア管理に関する国内外の動向や求められる対応までを解説頂きました。
2019.11.01
開発の上流工程にマルウェアを送り込む悪意ある攻撃が試みられていますが、こうした「攻撃のシフトレフト」に対抗するため、自社製品やサービス提供におけるインシデントに対応する「PSIRT(Product Security Incident Response Team)」に注目が集まっています。第一線のPSIRT/CSIRT担当者とコンサルタントがインシデントに強い実践的PSIRTについてパネルディスカッションを行いました。
ファシリテーター: 板東 直樹 氏(アップデートテクノロジー株式会社 代表取締役社長)
パネリスト:明尾 洋一 氏(サイボウズ株式会社 セキュリティ室 室長)
パネリスト:垣内 由梨香 氏(マイクロソフトコーポレーション カスタマーサービスアンドサポート セキュリティレスポンスチーム セキュリティプログラムマネージャー)
パネリスト:加藤 智巳 氏(株式会社ラック サイバー・グリッド・ジャパン理事, シニアコンサルタント)
2019.7.19
Software ISACに参画する、サイボウズ株式会社、トレンドマイクロ株式会社そして本作業の協力や調整支援を頂いた 一般社団法人 JPCERT コーディネーションセンターの3組織で実施した「PSIRT Services Framework 1.0 Draft」の日本語翻訳文書を公開しました。
IoT の浸透により社会の在り方が急速に変化しています。それと同時に IoT 機器やソフトウェアの脆弱性を突いたセキュリティ事故も 発生するようになりました。IoT 機器やソフトウェアの開発ベンダーは、製品・サービスの修正や改善をこれまで以上の頻度、速度で行う必要性があり、対応 組織の設置・強化が望まれています。
「Product Security Incident Response/Readiness Team(PSIRT)」とは、各組織で提供している製品やサービスに係る脆弱性対応やインシデント対応、また品質管理や向上を目的とした組織で、 国内でも徐々に設置が進んでいますが、その構築や運用のノウハウは国内にはまだまだ多くありません。
「PSIRT Services Framework 1.0 」は、FIRST(Forum of Incident Response and Security Teams)が提供するフレームワークで、PSIRT を構築する方法や必要な機能・資源をはじめ、運用に係る情報などが記載されています。
Software ISAC は 一般社団法人 コンピュータソフトウェア協会 (CSAJ) の会員と個人会員で構成されています。 CSAJ は、コンピュータソフトウェア製品に 係わる企業が集まり、ソフトウェア産業の発展に係わる事業を通じて、我が国産業の健全な発展と 国民生活の向上に寄与することを目的としています。
Software ISAC加入希望の方は、Software ISAC会則をご確認の上、 info2@softwareisac.jp にご連絡ください。
Address | 〒〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル4F |
Phone | 03-3560-8440 |
info2@softwareisac.jp | |
Founded | 1986.2 |
Membership | 624社・団体(うち正会員499社) |