セキュア開発や脆弱性管理の工数最適化や、ソフトウェアサプライチェーンの強靭化の研究を行い、安心・安全な日本への貢献を行う開発者のための情報交換基盤の提供を目指します。

人気ブログ:ランサムウェア 徳島県の病院から学ぶこと
朝日新聞 編集委員 須藤龍也氏の寄稿

最新ブログ:RaaS クイック対策

情報セキュリティ コントロール ガイドライン Ver.1 を公開しました

安心・安全な日本のために

私たちが住む世界は、利便性がさらに向上し、豊かになろうとしています。
同時にそれは生活にソフトウェアが社会に根差し、ソフトウェアによって制御される時代になってきていると言って過言ではありません。
そこで私たちは、以下の3つを達成するためにSoftware ISACとしての活動を行います。

  • 脆弱な製品やサービスが生み出されないためにセキュア開発を推進し、脆弱性に対しても最適に管理できる体制を目指します。
  • 日本の経済構造である多重下請け構造を理解した上で、特にソフトウェアに関するサプライチェーンの課題解決と強靭化を図ります。
  • 日本の製品やサービスが安心・安全に提供され、利用できる社会を目指します。

日本の安心と安全のために、私たちはソフトウェア産業界が一体となって課題解決が行えるよう努めていきます。

Our Activities

ガイドライン委員会

IPA セキュリティ検討プロジェクトチームが策定した「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」の継続的な改訂を行っています。

OSS委員会

Software Bill of Materials (SBOM) の研究や、OSSを正しく管理するための手法を研究しています。

セキュリティ経営委員会

セキュリティ業界の第一人者を招き、正しいセキュリティ投資を行うためのセミナーを開催しています。

PSIRT推進研究会

国内の健全なPSIRT設立と発展のために、 「PSIRT Services Framework 1.0」の翻訳や、セミナーを実施しています。

セキュアコーディング研究会

OWASP Application Security Verification Standard (ASVS) 4.0 の翻訳や、セキュア開発セミナーを実施しています。

AI安全利活用研究会

AIをセキュアに導入するためのチェックリストである、AI Assessment List (AiAL)の研究、策定活動を行っています。

最新Blog

ランサムウェア、徳島県の病院から学ぶこと

 四国山地をつらぬく吉野川沿いにひらけた人口8千人ほどの徳島県つるぎ町。手延べそうめんの里で知られる静かな中山間地域の病院がいま、サイバー攻撃を受け、困難と立ち向かっている。
 県西部で唯一お産を引き受けるなど、基幹病院である町立半田病院だ。10月31日未明、ランサムウェア(身代金ウイルス)によって、患者の診察記録を預かる電子カルテが失われるなど甚大な被害を被った。 救急や新規患者の受け入れを中止し、手術も可能な限り延期するなど、この日から病院としての機能は事実上、停止した。

朝日新聞 編集委員 須藤龍也氏の寄稿

RaaS クイック対策

RaaSへの技術的なクイック対策例として、情報システム開発契約のセキュリティ仕様作成のためのガイドラインから有効と考えられる Windows ポリシーを例示した。Raas 対策として、通常の運用に影響が少なく、テストも容易な項目を抽出してある。
Windows の Security 関連の Policy は着実に強化されているが、後方互換性のためにあえて緩く設定されている部分もあり、その意味では既定値を悪用する攻撃ベクトルも存在することから、初期設定は運用スタイルに併せて変更することを強く推奨する。

Site Admin の寄稿