Library

成果物、セミナーなどのご報告です。

Software ISAC は、JPCERT/CC や IPA を始めとする国内セキュリティ機関・団体と連携し、ガイドラインの策定や翻訳、それらのセミナーの開催を行い、会員のセキュティ技能の向上を目指しています。

また、重大な脆弱性に関しては、緊急注意喚起サイトを提供し、ワンストップで情報収集ができる体制を目指しています。

2021.01.14
ソフトウェア出荷判定基準とモデル契約セキュリティガイドラインのセミナーを開催しました。

2020年12月に公開したソフトウェア出荷判定セキュリティ基準チェックリスト Ver.1.2と、経産省/IPA 情報システム開発契約のセキュリティ仕様作成のためのガイドライン Windows Active Directory編のWebinarを開催しました。
ソフトウェア出荷判定セキュリティ基準チェックリスト Ver.1.2 は、企画・発注段階、ソフトウェア要件定義、方式設計、詳細設計、構築、結合、運用保守の各段階で検討すべきセキュリティ対策と脅威シナリオ、参考文献をまとめたものです。各段階で実施すべき対策をチェックできるため、セキュリティ品質管理の向上が期待できます。

2020.12.22
IPA「セキュリティ仕様策定プロセス」、「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」が公表されました。

ユーザー企業とITベンダーがコミュニケーションしながらセキュリティ仕様を策定するプロセスを解説した 「セキュリティ仕様策定プロセス」と、セキュリティ仕様の検討を技術的に支援するため、 より具体的な表現で実装方法を参照可能な公表情報としての「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」が公表されました。
同ガイドラインでは、Windows Active Directory環境を対象としてOS、デスクトップアプリ、ブラウザーのセキュリティ設定を具体的に示しています。 最新のサイバー攻撃の実態や対応策を記載しているため、今後も状況に応じて対応策や設定値を追加するなど、改訂をSoftwre ISACが続けていきます。

2020.08.25
OWASP APPLICATION SECURITY VERIFICATION STANDARD 4.0 日本語版をリリースしました。

Software ISAC は、セキュリティ要件の定義を効率よくするための取り組みを行っています。 2019年は PSIRT Framework の日本語版をリリースしましたが、2020年は、OWASP JAPAN チャプターの協力を得て AVSV4.0 日本語版をリリースしました。 引き続き、セキュリティ関連の重要なコンテンツの日本語化に取り組んでまいります。
ASVS4.0 序文
アプリケーションセキュリティ検証標準 (ASVS) バージョン 4.0 へようこそ。ASVS は現代の Web アプリケーションおよび Web サービスを設計、開発、テストする際に必要となる、 機能的および非機能的なセキュリティ管理策の定義に焦点を当てた、セキュリティ要件および管理策のフレームワークを確立するコミュニティ主導の取り組みです。

2020.04.28
NTT 東日本 – IPA 「シン・テレワークシステム」向けセキュリティポリシーを公開しました。

新型コロナウイルス感染症による緊急事態宣言により、接触機会の8割削減が強く求められる中、在宅勤務の重要性が増しています。

NTT東日本とIPAは誰でも簡単に利用できるリモートデスクトップ型のテレワークシステム「シン・テレワークシステム」を緊急構築し、2020年4月21日から実証実験として無償で提供を開始しました。「シン・テレワークシステム」は企業内のPCにサーバーソフトをインストールし、在宅のPCにクライアントソフトをインストールすることで、暗号化されたVPN環境を提供するもので、在宅PCからリモートデスクトップ接続することで、企業内PCを操作することが可能です。
本書は「シン・テレワークシステム」が安心・安全に運用されるためのセキュリティ設定を、当協会有志が急遽取りまとめたものです。セキュリティが担保された「シン・テレワークシステム」で在宅勤務が推進され、国民全体でコロナ禍に打ち勝つことを祈念しております。

2020.03.12
「PSIRT成熟度評価シート」を公開しました。

Software ISAC PSIRT推進WGでは、「PSIRT Maturity Document」をもとに、各組織の製品セキュリティ・インシデント対応チーム (PSIRT) の成熟度を評価するためのシート「PSIRT成熟度評価シート」を作成しました。 プログラム開発事業やソフトウェア販売等に関わる企業において、製品の脆弱性管理は重要な課題となってきました。この「PSIRT成熟度評価シート」は、自社開発製品または自社販売製品に関する脆弱性管理を課題として扱い始めた組織、または製品セキュリティ・インシデント対応チーム(PSIRT)の設立を進めている組織、もしくは PSIRT業務の品質の向上を目的に、現状の評価や課題の洗い出し、また組織の PSIRT業務の成熟度を取引企業に公開し、信頼を獲得するための材料として利用いただきたいものです。
利用の仕方 PSIRT成熟度評価シートの各項目の内容を確認いただき、達成できている項目については「○」を入力してください。 レベル1の項目すべてに「○」が付けば、PSIRTの成熟度は「レベル2」と判定されます。 また同様にレベル1およびレベル2の項目すべてに「○」が付けば「レベル3」と判定されます。 低いレベルの項目に○が付くよう行動計画を立てることで、PSIRTの成熟度が上がっていきます。 評価後に、エクセルシートを PDF で書き出ししていただくことで、外部に公開可能なPSIRT成熟度評価シートを作成することができます。

2019.11.01
CEATEC2019コンファレンス実施報告 1

Title:IoT時代のゼロデイ攻撃と防御 受け入れ必至 “Zero Trust” とは

株式会社ラック サイバー・グリッド・ジャパン サイバー・グリッド研究所所長 仲上 竜太 氏から、IoT時代に直面するゼロデイ攻撃とその防御、そして新しいセキュリティパラダイムであるゼロトラストとは。サプライチェーン・リスクに端を発するSociety5.0時代の情報資産の守り方について紹介を頂きました。

2019.11.01
CEATEC2019コンファレンス実施報告 2

Title:IoT時代に必要なPSIRTとその役割

グローバルセキュリティエキスパート株式会社 CSO 兼 CSRO 萩原 健太氏から、進化する攻撃や複雑化する製品・サービスにおいて、企業規模に関わらず、コンポーネントの管理は重要度が増している中、昨今のソフトウェア管理に関する国内外の動向や求められる対応までを解説頂きました。

2019.11.01
CEATEC2019コンファレンス実施報告 3

Title:IoT時代におけるセキュリティ対応態勢のありかた シフトレフトする攻撃に生き残れ!

開発の上流工程にマルウェアを送り込む悪意ある攻撃が試みられていますが、こうした「攻撃のシフトレフト」に対抗するため、自社製品やサービス提供におけるインシデントに対応する「PSIRT(Product Security Incident Response Team)」に注目が集まっています。第一線のPSIRT/CSIRT担当者とコンサルタントがインシデントに強い実践的PSIRTについてパネルディスカッションを行いました。

ファシリテーター: 板東 直樹 氏(アップデートテクノロジー株式会社 代表取締役社長)

パネリスト:明尾 洋一 氏(サイボウズ株式会社 セキュリティ室 室長)

パネリスト:垣内 由梨香 氏(マイクロソフトコーポレーション カスタマーサービスアンドサポート セキュリティレスポンスチーム セキュリティプログラムマネージャー)

パネリスト:加藤 智巳 氏(株式会社ラック サイバー・グリッド・ジャパン理事, シニアコンサルタント)

2019.07.19
「PSIRT SERVICES FRAMEWORK 1.0」の日本語翻訳文書公開

Title:IoT時代におけるセキュリティ対応態勢のありかた シフトレフトする攻撃に生き残れ!

Software ISACに参画する、サイボウズ株式会社、トレンドマイクロ株式会社そして本作業の協力や調整支援を頂いた 一般社団法人 JPCERT コーディネーションセンターの3組織で実施した「PSIRT Services Framework 1.0 Draft」の日本語翻訳文書を公開しました。
IoT の浸透により社会の在り方が急速に変化しています。それと同時に IoT 機器やソフトウェアの脆弱性を突いたセキュリティ事故も 発生するようになりました。IoT 機器やソフトウェアの開発ベンダーは、製品・サービスの修正や改善をこれまで以上の頻度、速度で行う必要性があり、対応 組織の設置・強化が望まれています。
「Product Security Incident Response/Readiness Team(PSIRT)」とは、各組織で提供している製品やサービスに係る脆弱性対応やインシデント対応、また品質管理や向上を目的とした組織で、 国内でも徐々に設置が進んでいますが、その構築や運用のノウハウは国内にはまだまだ多くありません。
「PSIRT Services Framework 1.0 」は、FIRST(Forum of Incident Response and Security Teams)が提供するフレームワークで、PSIRT を構築する方法や必要な機能・資源をはじめ、運用に係る情報などが記載されています。