OSS委員会
委員長:萩原健太(GSX)
OSSの汚染や侵害の調査・研究、SBOM の研究を通じて、安全な OSS の普及を推進しています。
ソフトウェアに関する課題(全体)
- サプライチェーンの深い構造(多重下請け構造)
サプライチェーン管理の重要性は理解しているが、階層が深すぎて把握できない。また管理には相当のコストがかかる。 - 無くなることのない脆弱性(情報系・産業系を問わず)
サプライチェーン繋がりを悪用したサイバー攻撃が発生している。 - 対応しきれない組織(特に中小企業)
膨大な脆弱性情報のエントリーがあり、産業機器関連の脆弱性も出現している。 - 進むデジタル化、IoT機器の開発(把握できないOSS問題)
OSSを活用した様々な製品やサービスが増加している。
ソフトウェアに関する課題(OSS)
- OSSの重要性を理解できていない
- OSSの使用状況を把握できていない
- 仕様書にOSSの詳細が反映されていない
- OSSの更新を踏まえた運用を想定していない
- セキュア開発が行えていない(行えない)
- 契約や力関係の非対称性の存在
このような現状を踏まえ、Softwa ISAC会員企業の対策の検討や恒久的な対策について、政府、業界団体、各ISACと協調しながら、業界慣行の確立を進めていきます。
ガイドライン委員会
委員長:加藤智巳(LAC)
Software ISACは、IPA社会基盤センターの社会実装推進委員会の中で、民法改正対応モデル契約見直しWG(ワーキング・グループ)の下に設置された 「セキュリティ検討PT(プロジェクト・チーム)」に対し積極的な支援活動を実施しており、これまでになかった新しいセキュリティガイドライン 「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」の策定に取り組んでいます。
「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」の特徴
Software ISACは、IPA社会基盤センターの社会実装推進委員会の中で、民法改正対応モデル契約見直しWG(ワーキング・グループ)の下に設置された 「セキュリティ検討PT(プロジェクト・チーム)」に対し積極的な支援活動を実施しており、これまでになかった新しいセキュリティガイドライン 「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」の策定に取り組んでいます。
「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」の特徴
- ガイドラインの内容は、Software ISACが運用することを前提として四半期毎を目処にアップデートを実施
(最新の脆弱性関連情報を管理する MITRE ATT&CK ベースに随時反映し、wikiで公開) - 情報システム調達時のユーザー・ベンダー間におけるリスク・コミュニケーションを想定した「セキュリティ仕様策定プロセス」を併記
(システム開発委託契約書におけるセキュリティ仕様要件に関するエビデンス作成が容易に)
Software ISACでは、社会経済活動に少なからず影響を及し、あるいはデジタル・トランスフォーメーションを阻害しかねないシステム障害を低減するため、 このセキュリティガイドラインを広く普及させるための活動を行なっていきます。
セキュリティ経営委員会
委員長:襟川芽衣(コーエーテクモホールディングス)
有識者によるセミナーを開催し、サイバーセキュリティの現状を正しく理解し、正しく人・モノ・金を配分できる経営者の育成を目指します。また、セキュリティを協調領域としてとらえ、経営者同士の情報交換や交流を深めていきます。
セキュリティ経営の課題
- セキュリティ費用の妥当性が分からない
- セキュリティ製品の導入効果が不明
- 用語や内容が良く分からない
- 実際に何が起きているのか不明
- どのように人材を育成すればよいのか
AI安全利活用研究会
主査:山本 扇治(SOMPOシステムズ)
最先端のテクノロジーとして注目されているAIですが、未だ厳密な定義はありません。そして、AI利活用は情報セキュリティの検討が不十分な状況です。こうした中また、業界・企業規模に関わらず、AI利活用において情報セキュリティを検証できるツールが必要です。総務省が作成した「AI利活用ガイドライン」を参考にしつつ、AIの利用形態を整理し、アクターや責任分界点を研究します。
- 日本とEUのAI利活用の取り組み状況 (太字部分が研究会のスコープ)
| 日本 | EU | |
| AI利活用ガイドライン | 総務省 「AI利活用ガイドライン」 | Ethics Guidelines for TrustworthyAI |
| AIを導入する際のチェックリスト | × | Trustworthy AI Assessment List |
| チェックリストを 改善するための仕組み | × | Technical and non-technical methods to realizeTrustworthy AI |
セキュアコーディング研究会
主査:垣内 由梨香(日本マイクロソフト)
セキュア開発を実現するための情報共有、セキュアコーディングガイドラインの策定を通じて、シフトレフトを推進しています。
具体的には、Spring Framework のセキュアコーディングガイドの作成、セキュアなアプリケーションの定義、ビルド、テスト、 検証に使用できるアプリケーションセキュリティ要件またはテストのリストである、OWASP Application Security Verification Standard (ASVS) 4.0 の日本語化や、 セキュア開発セミナーを開催しています。
PSIRT推進研究会
主査:明尾 洋一(サイボウズ)
Product Security Incident Response Team の普及を推進しています。
IoTの浸透により社会の在り方が急速に変化しています。それと同時にIoT機器やソフトウェアの脆弱性を突いたセキュリティ事故も発生するようになりました。 IoT機器やソフトウェアの開発ベンダーは、製品・サービスの修正や改善をこれまで以上の頻度、速度で行う必要性があり、対応組織の設置・強化が望まれています。 「Product Security Incident Response/Readiness Team(PSIRT)」とは、各組織で提供している製品やサービスに係る脆弱性対応やインシデント対応、 また品質管理や向上を目的とした組織で、国内でも徐々に設置が進んでいますが、その構築や運用のノウハウは国内にはまだまだ多くありません。 「PSIRT Services Framework 1.0」は、FIRST(Forum of Incident Response and Security Teams)が提供するフレームワークで、 PSIRTを構築する方法や必要な機能・資源をはじめ、運用に係る情報などが記載されています。そこで、国内の健全なPSIRT設立と発展のために、 「PSIRT Services Framework 1.0」の翻訳を、JPCERT/CCとPSIRT推進/実践WGで実施し、国内のFIRSTメンバーの査読を受け、FIRSTにて公開がなされました。
本WGでは、「PSIRT Services Framework 1.0」の普及を進めるため、WGでの定期的なセミナーを開催するとともに、 PSIRT Services Frameworkの 各フレームワークの目的達成過程の状態を成熟度レベル毎に示した「プロダクト脆弱性対策・対応成熟度シートVersion 1.0」を作成しました。 この成熟度シートは、自社開発製品または自社販売製品に関する脆弱性管理を課題として扱い始めた組織、または製品セキュリティ・インシデント対応チーム(PSIRT)の設立を 進めている組織、もしくはPSIRT業務の品質の向上を目的に、現状評価や課題の洗い出し、施策の方向性を検討する材料として利用して頂きたいものです。 「PSIRT Services Framework Version 1.0 」では、PSIRTのあるべき姿をサービスエリア毎に詳細に記述してありますが、 組織の規模や製品販売対象範規模の違いなどで、 要件としてそのまま自組織に当てはめるには難しい面も散見されます。 この成熟度シートは、PSIRT Services Frameworkの理解を助けると同時に、 目標とする成熟度レベルを自ら設定し、 中小規模のビジネスにおいても参考となるよう配慮してあります。