ABOUT

Software ISAC

活動の沿革

Software ISAC は一般社団法人ソフトウェア協会のセキュリティ委員会が母体となり、 2018年からセキュリティに関する情報共有、PSIRTの設置推進などの活動をソフトウェア協会会員向けに行ってきました。

その後、FiRST.ORG の PSIRT Service Framework、OWASP ASVS v4 などのドキュメントの翻訳、PSIRT成熟度評価シート、IPA 情報システム開発契約のセキュリティ仕様作成のためのガイドライン、ソフトウェア出荷判定基準などの、より具体的なソフトウェアのセキュリティ基準の策定を通じて、ソフトウェア産業で唯一の ISAC として啓発活動を行ってきました。
この活動をさらに本格化すべく、2021年4月からSAJセキュリティ委員会を発展的に解消し、SAJ のセキュリティ関連事業はすべて Software ISAC に一本化しました。

経済産業省、内閣サイバーセキュリティセンター、IPA、JPCERT/CC、国内重要インフラISAC などのとの意見・情報交換を通じて、政策提言や情報発信に努めています。

現状認識 1

企業を狙ったランサムウェアが台頭しており、わが国のサイバー空間は悪意を持った犯罪者が虎視眈々と企業とサプライチェーンを狙っています。また、国家レベルでの攻撃が防衛産業や先端知財に狙いを定めています。
もはや、旧来の境界型ネットワークやアンチウイルスで高度な攻撃から組織を守るの事は困難です。さらに、UTM や EDR といった最新のセキュリティ製品導入企業ですら、不正侵入され身代金の支払いを余儀なくされています。
従来のセキュリティ製品導入だけでは、組織を守ることは困難であり、より多層・多重の防御計画と正しい運用計画による新たな統制が必要です。

現状認識 2

Apache Log4j のようなゼロディが OSS の森に潜んでいることを前提に、OSS をより安全に使用するための仕組みが必要です。経済産業省を中心に Software Bill of Materials (SBOM) などの検討が進んでいますが、SBOM だけではなく、ソフトウェア品質と生産性を両立させる自動化ツールや Framework が必要です。
また、米国 国防総省の Security Technical Implementation Guide や CIS Control のような合理的な設定基準、運用基準を SCAP をベースとしたツールで構築・監査し、日々の脆弱性管理を行う必要があると考えています。

Meet Our Team

共同代表

(株)コーエーテクモホールディングス 取締役

襟川 芽衣

(株)ラック サイバーグリッドジャパン主席研究員

加藤 智巳

インターバルリンク(株)
代表取締役

萩原 健太

アップデートテクノロジー(株)
代表取締役

板東 直樹

Software ISAC会則

第1章 総則

第1条(目的)
Software Information Security and Analysis Center(以下、「当ISAC」という。)は、サイバーセキュリ ティに関連する情報整備や連携を通じ、わが国のソフトウェア産業が安全かつ迅速に発展することを目的とする。

第2条(事業)当ISACは、次の事業を行う。

  1. 脆弱性・脅威情報等の集約・分析・展開等の調査研究
  2. サイバーセキュリティ向上のための人材育成
  3. 開発上流工程にセキュリティを組み込むための調査研究
  4. サイバーセキュリティに関係する外部機関との情報交流と連携
  5. サイバーセキュリティに関係する政策提言
  6. その他、当ISACの目的を達成するために必要な事業

第2章 会員

第3条 (会員区分)
会員は、正会員、協力会員、個人会員を種別とする。なお、会員区分は別表に記す。

  1. 正会員は、一般社団法人ソフトウェア協会(以下、「SAJ」という。)の正会員として加入している 法人とする。
  2. 協力会員は、前項に該当しないもので、当ISACの目的に賛同し、当ISACに貢献・協力しようとす る法人、組合、社団等の団体とする。
  3. 個人会員は、当ISACに貢献・協力する意志を有する個人とする。

第4条 (入会方法)

  1. SAJ 正会員及び正会員としてSAJ に入会したものは当ISACに正会員として入会したものとみな す。ただし、正会員としてSAJ に入会したものが、その入会日から2 週間以内に、当ISACへの入会を希望しない旨を書面にて事務局に通知した場合には、この限りではない。
  2. 当ISACに協力会員として入会する場合は、当ISACが指定する書式の書面にて事務局に入会の申し 込みをし、幹事会にて承認を受けなければならない。
  3. SAJ 正会員に属さない個人が、個人会員として当ISACに入会するためには、当ISACからの入会依頼がなされていることが必要となる。

第5条(会員の権利義務)
会員は、本運営規則に別途定めるもののほか、以下の権利義務を有する。

  1. 会員は、第4 章の規定に基づき、情報の開示や共有を積極的に行うものとし、また、同章の規定に基 づき、他の会員やステークホルダーから開示や共有された情報を受領し、当該情報を利用することが できる。
  2. 会員は、必要と判断した場合には、運営チームに対し、開示や共有を受けた情報について、会員間で 検討、調査等を行うために、ワーキンググループ(以下、「WG」という。)の事業計画(目的、事業 内容、期間、収支、WGメンバー等)を作成のうえ、WG の設置を求めることができる。ただし、個 人会員はWG の設置を求めることはできず、設置されたWG にオブザーバーとして参加できるに留 まるものとする。なお、WG の設置にあたっては、運営チームのメンバーの中から当該WG の主査 又は副主査のいずれか一名を選任しなければならない。

第6条(退会)
会員が退会しようとするときは、事務局にその旨を書面にて申し出ることにより、任意にいつでも退会 することができる。なお、SAJ正会員を退会する場合は、当ISACも自動的に退会となる。

第7条(除名・活動の停止)
会員が次のいずれかに該当するに至ったときは、幹事会の決議により、即時に当該会員の活動を停止させ、又は当該会員を除名することができる。

  1. 当ISACの規則や幹事会の決議事項に違反したとき。
  2. 当ISACの名誉を棄損したとき。または当ISACの目的に反する行為をしたとき。
  3. その他除名すべき正当な事由があるとき。

第8条(会員資格の喪失)

  1. 会員は、第6 条又は第7 条の場合のほか、次のいずれかに該当するに至ったときは、その資格を喪 失する。ただし、未履行の義務は、これを免れることができない。
    (1) 会費を1年以上納入しないとき。
    (2) 会員の3分の2以上が同意したとき。
    (3) 後見開始又は保佐開始の審判を受けたとき。
    (4) 死亡し、又は失踪宣告を受けたとき。
    (5) 法人又は団体が解散し、又は破産したとき。
    (6) 当ISAC又はSAJが解散し、又は破産したとき。
  2. 本会は、会員がその資格を喪失しても、既に納入した会費その他の金品、知財は返還しない。

第9条(地位の承継等について)

  1. 会員は、会員の権利を第三者に譲渡することはできない。
  2. 会社分割や合併等に伴い会員としての資格が承継される場合、会員は、当該会社分割や合併等の効力 発生日から2週間以内に、事務局に対し、承継したことを示す資料を添付のうえ、当ISACが指定する書式の申込書を提出しなければならない。
  3. 前項に定める地位承継にあたり、幹事会において参画を断るべき合理的な理由があると判断した場 合には、当ISACは、会員としての資格の承継を拒絶することができる。

第3章 会の運営

第10 条 (幹事会)

  1. 当ISACの会運営のため幹事会を設置する。
  2. 幹事会は、当ISAC会員候補者への入会依頼の決定や承認、当ISAC会員の活動停止や除名及び第9条第3項に定める地位承継の拒絶等の決議を行う。
  3. 幹事会は、運営メンバーの選出、変更の承認及び解任をする。
  4. 幹事会は、運営チームリーダーの承認及びサブリーダー選任の報告を受ける。
  5. 幹事会は、事業活動に生じる費用、運営チーム会議やWG での支出及び活動事項の承認をする。
  6. その他、運営チームにおいて、幹事会に付議すべきものと決議した事項。
  7. 幹事会については、SAJ理事で構成する。

第11 条 (運営チーム)

  1. 当ISACの業務執行のため運営チームを設置する。
  2. 運営チームメンバーは幹事会が選任し、別途定める運営チーム規則に従い、リーダー、サブリーダー を置く。
  3. リーダーは運営チームを代表し業務を執行する。
  4. サブリーダーはリーダーを補佐し、リーダーに妨げがある際はこれに代わり代表として業務を執行する。
  5. 運営チームの詳細については、別途、運営チーム規則を定める。

第12 条(事務局) 当ISACの会員活動の運営及び付随する事務を行う事務局をSAJ 内に置く。

第4章 情報共有及び利用

第13 条 (情報共有及び利用の原則)

  1. 当ISAC及び会員は、当ISACの目的に従って情報共有を推進する。
  2. 情報共有にあたり、当ISAC及び会員は下記の原則を遵守する。
    (1) 情報を開示又は共有する会員(以下、「発信者」という。)は、当ISAC及び会員間だけでなく、 SAJ、事務局及びステークホルダー(当ISAC会員及び当該情報に利害関係を有する第三者をい う。以下同じ。)に情報が開示、共有されることを承諾する。 (2) 国内法令を遵守し、当ISAC、他の会員とステークホルダーの権利を害しない。 (3) 当ISAC、他の会員とステークホルダーとの情報共有の促進に努める。 (4) 発信者は、発信した情報を当ISAC、他の会員及びステークホルダーが当ISACの目的にしたが ってのみ利用することを許諾する。 (5) 当ISACとステークホルダーから提供される情報の利用にあたっては、情報の利用者の自己責任 とし、発信者の責任を問わない。 (6) 情報の利用者は、本条のほか特に発信者が定めた利用条件があるときはこれを遵守する。
  3. 会員及びステークホルダーから開示又は共有された情報は、事務局において、善良なる管理者の注意 をもって管理、保管するものとする。
  4. 情報共有の詳細については、別途、情報共有ルールを定める。

第14 条 (守秘・Traffic Light Protocol)

  1. 発信者は、その情報の区分及び開示許諾の範囲を示すために、Traffic Light Protocol(以下「TLP」 という。)を使用する。
  2. 発信者は、TLP に従って受信者となる当ISAC、会員及びステークホルダーが情報を利用すること を承諾する。
  3. 当ISAC及び会員は、情報共有された情報を利用するにあたり、提示された TLP を厳守する。
  4. 運営チーム及び事務局は、TLP の区分に拘らず会員から発信された情報を参照することができる。
  5. ステークホルダーとの守秘については、別途、情報共有ルールを定める。

第15 条 (法令に基づいた情報開示)
当ISAC及び会員が、法令に基づく開示請求を受けた場合、当該開示請求を受けた当事者は、法令により 要求される範囲で情報共有された情報を開示することができる。

第16 条 (通知義務)

  1. 前条の場合を除き、当ISAC又は会員は、情報を発信した会員又はステークホルダーから事前承認を 得た場合に限り、TLP に定められた範囲を超えて情報共有された情報を開示することができる。
  2. 情報を発信した会員は、前項に反する開示を差し止めることができる。

第17 条 (第三者への提供)
当ISAC及び会員が、情報共有された情報を利用するにあたり、第三者に情報を提供する場合は、発信者 やステークホルダーを直接的にも間接的にも特定しえないための適切な加工処理を行った上で提供しな ければならない。

第5章 損害賠償

第18 条 (免責)

  1. 当ISAC及び会員は、情報共有された情報の正確性を保証しない。
  2. 当ISAC及び会員は、情報共有された情報に基づく損失については一切の法的責任を負わない。ただ し、故意又は重過失の場合は除く。

第19 条 (故意又は重過失)

  1. 会員の故意又は重過失により、情報共有及び利用において違反があった場合、もしくは損失を被った 場合は、発信者と当該情報の利用者の当事者間においてこれを解決する。
  2. 当ISACの運営チーム、運営メンバー、事務局の故意又は重過失により、当ISACの会員が情報共有 及び利用において損失を被った場合は、当該年度に納入された会費を上限として損害賠償に応じる。

第6章その他

第20 条 (表明保証)

  1. 当ISAC及び会員は、自らが暴力団及び暴力団と関連する団体等の反社会的勢力などではないことを表明し、 保証する。また、暴力団及び暴力団と関連する団体等の反社会的勢力の維持又は運営に協力又は関与していないこと、ならびに自己の経営に暴力団などが関与していないことを表明し、保証する。
  2. 当ISAC及び会員は、自らがサイバーセキュリティ犯罪集団及び関連する団体等の反社会的勢力などではないことを表明し、 保証する。また、サイバーセキュリティ犯罪集団及び関連する団体等の反社会的勢力の維持又は運営に協力又は関与していないこと、ならびに自己の経営にサイバーセキュリティ犯罪集団などが関与していないことを表明し、保証する。 

第21 条 (準拠法及び裁判管轄)
本運営規則に基づく会員資格の成立、効力、履行及び解釈に関しては、日本国法が適用され、利用契約に 関する一切の訴訟については、東京地方裁判所を第一審の専属的合意管轄裁判所とする。

第22 条 (効 力)

  1. 本運営規則は、会員資格及び会員活動に関する完全な合意であり、入会以前の他のすべての表明、交渉、連絡又は通知に優先して適用されるものとする。
  2. 事由の如何にかかわらず、会員が除名又は退会した場合であっても、第13条、第14条、第15条、 第16条、第17条、第18条、第19条、第21条の効力はその後も存続することとする。

2018年9 月4 日 制定
Software Information Sharing and Analysis Center

≪改定履歴≫
2019年7月3日 「団体会員」の名称を「協力会員」へ変更

2021年12月30日 協会名称が 一般社団法人コンピュータソフトウェア協会(CSAJ) から 一般社団法人ソフトウェア協会 (SAJ) へ変更に伴い、記述を変更