タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす
[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO
「AWS環境のセキュリティが不安だ…」そんな方にはセキュリティチェック!AWSでは定量的にチェックすることができる機能があります。いくつかあるので長短などを説明しつつ私が思う最強のセキュリティチェックを伝授します! こんにちは、臼田です。 みなさん、AWS環境のセキュリティチェックしてますか?(挨拶 全国のAWSのセキュリティについて悩んでいるみなさまのために、今回は僕の考える最強のAWS環境セキュリティチェックについて情報をまとめ・伝授します。 初心者向けに、比較的AWSの経験が浅くても始めやすいように、かつ上級者が応用するために活用できる情報もぜんぶまとめていきます。 この記事は2020年の決定版となるでしょう!(それ いいすぎ。 ながーくなってしまったので最初は適宜飛ばして読むといいかもしれません。 AWS環境のセキュリティチェックの意義 AWS環境でセキュリティチェックをすることは
![[2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる] | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/46eee47df02797b1711e39b4cf67a6a7b8f87e53/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F10%2Fsuper_security_check_1200_630.png)
セキュリティチェックシートって大変ですよね 「契約締結目前で、今日もらったチェックシートを3日後までに出せば決まりです!」 「これNGだと契約できないんですけどなんとかならないですか?」 「(書いてもらったシートをレビュー中)え!?これOKじゃなくてNGですよ!?」 「書き始めたら8時間以上かかってるんですけどこれ無償対応なんですか・・・?」 っていうことありませんか!?ない!?良かったですね!!(血涙) ということで、結構セキュリティチェックシートで苦労しています。 過去にISMS認証を取得したときには「これでちょっとは楽になるな!よかった!」と思ったもんですが、 大きく楽になった感じはありません。 といっても、セキュリティチェックシートは次々来るので、なんとなく悟りが開けてきました。 ということで、道半ばではありますが、 そもそもセキュリティチェックシートってなんだっけ? なんで苦労し
オペレーション部 江口です。 私の主業務はクラスメソッドメンバーズサービスの品質管理や内部監査なのですが、その活動の一環として企業としての標準のセキュリティチェックシートを作成しました。 このチェックシートがこのたびクラスメソッドの企業サイトで公開されましたのでご報告です。 具体的には「ポリシー」ページに「セキュリティチェックシートの提供」という項目が追加されています。 https://classmethod.jp/policy/ 作成・公開の目的 当社はISO27001/27017、PCI-DSS、Pマーク、SOC2など、様々な認証を取得しセキュリティやサービス品質の向上に努めています。 ですが、お客様によっては認証取得の事実だけでなく、実際にセキュリティ対策としてどのように取り組みを行なっているか、もう少し具体的な情報をご要望いただくことがあります。 そうしたお問い合わせの一助として、
仕様起因の脆弱性を防ぐ!開発者向けセキュリティチェックシート(Markdown)を公開しました - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 これまで弊社ブログでは様々な「仕様とセキュリティ観点の解説記事」を発表してきました。今回はいままでの記事を改めて紹介しつつ、読者の皆様が開発中のサービスでセルフチェックを行えるよう「仕様とセキュリティ観点チェックリスト」を作成しました。ご活用いただけると幸いです。 ダウンロードは下記のGitHubリンクよりどうぞ。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専門のセキュリティエンジニアが調査するセキュリティ診断サービスを提供しています。料金に関する資料を配布中ですので、ご興味のある方は是非ご覧ください。 はじめに アプリケーションの仕様起因の脆弱性とは アプリケーションの仕様起因の脆弱性を防ぐために 仕様の脆弱性によく見られる共通点 1. ク
AWS ExpertOnline Nov2.2022
日本ではまだ黎明期であるVendor Risk Management(ベンダーリスクマネジメント)やクラウドサービスのセキュリティ運用管理について情報発信を行います! https://www.conoris.jp/
企業を狙ったサイバー攻撃は複雑化、巧妙化している。特にサプライチェーンを狙った攻撃は増加傾向にある。情報処理推進機構(IPA)が2023年2月28日に公開した「情報セキュリティ10大脅威 2023(組織)」では「サプライチェーンの脆弱(ぜいじゃく)性を悪用した攻撃」が第2位にランクインした。 サプライチェーンセキュリティ対策が難しいのは「自社だけでは守れない」ことだ。ビジネスが複雑化している中、サイバー攻撃者は中堅・中小企業のセキュリティ対策が十分ではない部分を突いてくる。これに対し、企業はどのように対策を講じるべきか。 アイティメディア主催のオンラインイベント「ITmedia Security Week 2023 春」に、業界のご意見番であるEGセキュアソリューションズの徳丸 浩氏(取締役CTO)が登壇。「古くて新しいサプライチェーンのセキュリティ問題、実のところどうすればよいか」と題す
IoTセキュリティチェックリスト
いわゆる IoT や IoT デバイスと呼ばれている、物理的な実体をもつ物の状態に関する情報を収集したり、収集された情報などをもとに物の状態を変える制御を行うための分散システムは近年、注目されており、今後も増加傾向が続くとされています。 そのような IoT デバイスは、常時ネットワークに接続されており、多数の同じIoTデバイスがネットワーク上に接続されているケースが多く、個々のIoTデバイスのセキュリティ管理の徹底が難しいことが多いと考えられます。また、IoT デバイスの中には、新機能の作り込みに注意を奪われるあまり、セキュリティ的な耐性に関する設計が忘れ去られているものが少なくありません。 利用者においても、IoTデバイスを使ってシステムを構築する際に、必要なセキュリティ的耐性を備えていることを確認した上で、システムを構成する製品を選定することが重要になります。不適切な製品を選べば、サイ
DeNAでのセキュリティチェックから分かるゲーム開発で作りがちなチートの穴 | BLOG - DeNA Engineering
こんにちは、技術統括部セキュリティ部セキュリティ技術グループの小川です。 今回は Shibuya.gamesec #2 にて発表した内容について、ブログ上で紹介していきたいと思います。ゲーム開発者の方がどのようなことに気を付けて開発をすると良いか、参考になれば幸いです。 DeNA におけるリリース前のチート・脆弱性診断 DeNA ではサービスの新規リリースやアップデートを行う前に、セキュリティ部がコードレビュー等を含むチート・脆弱性診断を行っています。公開する前に「その内容を世の中に出して安全か」を確認し、危険な箇所があれば指摘、安全な状態にしてからリリースをしています。 ここでは、このセキュリティチェックで過去発見・修正した脆弱性について集計し、どのような脆弱性がありがちかに触れていきます。集計対象はゲームアプリ・サーバーに関する脆弱性に限ります。しかし、一般的な統計情報として利用するた
セキュリティチェックが捗る!AWS Security Hubで全リージョンのセキュリティ基準の結果を集約して見れるようになりました! | DevelopersIO
こんにちは、臼田です。 みなさん、AWSのセキュリティチェックやってますか?(挨拶 やったーついにキタ━━━━(゚∀゚)━━━━!! AWS Security Hubのセキュリティ基準が全リージョンまとめて一括でチェック出来るようになりました!こんな感じ! 右上のリージョンはAll Linked Regionsとなっていて、セキュリティスコアのコントロール単位のパーセンテージと項目単位の失敗割合も全リージョンから集まってきた値になりました! AWSのWhat's Newは以下です。 AWS Security Hub launches cross-Region security scores and compliance statuses もう少し背景から詳しく説明していきます。 背景 AWS Security HubはAWS上で最強のセキュリティチェックができるサービスです。「セキュリティ
はじめまして、セキュリティチェックシートの一元化に取り組むサービス「Assured(アシュアード)」の事業責任者を務めている大森と申します。 準備期間を含め約2年以上にわたりセキュリティチェックの課題に向き合ってきたことから、本問題について、私見を述べられたらと思い、この記事を書いています。 何か少しでも、同じ問題意識を持たれている方のお役に立てれば幸いです。 そもそも、セキュリティチェックとはSaaS/ASPの利用(検討)企業様(以下、クラウド利用企業様)とSaaS/ASPの提供企業様(以下、クラウド事業者様)の間で行われる、セキュリティに関するリスク評価業務を指します。 ※広義には委託先管理全般で用いられる言葉ですが、本記事では上記に絞り書かせていただいています。 多くは、各クラウド利用企業様毎に保有する、EXCEL等で作成された質問表をクラウド事業者様との間でやり取りする形で行われま
Apple、macOS 11 Big Surでユーザーが実行したアプリの情報をチェックしているのはGatekeeperや公証のためで、2021年にはセキュリティチェック機能を改善するとコメント。
AppleがmacOS 11 Big Surでユーザーが実行したアプリの情報をチェックしているのはGatekeeperや公証のためだと説明し、2021年にはより強固なセキュリティチェックを導入するとコメントしています。詳細は以下から。 Appleが2020年11月より正式に提供を開始した「macOS 11 Big Sur」では、Beta段階から新たに導入されたNetworkExtensions APIsにホワイトリストが用意され、このリストに記載されているFaceTimeやシステムアップデートなどApple製の56アプリ/サービスのトラフィックはNetworkExtensions APIをバイパスしてファイヤーウォール系のアプリでチェックできない問題や、 ユーザーがいつアプリを起動したかや、アプリのハッシュ値(Unique ID)などを収集している問題などが確認され、セキュリティ界隈で話題
JPCERT コーディネーションセンター(以下、JPCERT/CC)は2019年6月27日、IoT(モノのインターネット)製品の開発者や製品の導入利用者向けに、「IoTセキュリティチェックリスト」を公開した。同リストはセキュリティインシデントが頻発するIoT製品の開発、利用時に最低限配慮すべき39項目を列挙しており、JPCERT/CCは「製品のセキュリティ機能を確認する第1歩として使ってほしい」と呼びかけている。 JPCERT/CCは2019年6月26日、東京都内で記者向けに説明会を開催し、同リストの作成背景や意図、利用法を解説した。同団体で早期警戒グループ 情報セキュリティアナリストを務める輿石隆氏は、IoT製品に関するセキュリティインシデントが増加傾向にあると警鐘を鳴らす。 輿石氏はIoT製品に対する脅威の代表格として、2016年から猛威を振るうマルウェア「Mirai」を挙げ、製品開発
「経営者は守るべき情報を把握している?」から始まるチェックリスト 経済産業省の調査によると、技術が流出したと考えられる事例の流出経路として「取引先による流出」が過半数を占めているという。技術情報は事業者にとって競争力の源泉であり、技術情報の流出は共同研究などオープンイノベーションに取り組む際の課題になる。こうした背景もあり、同省は2018年に技術情報管理認証制度を創設した。 関連記事 システム運用は「全自動化」への過渡期 「設計」ができる人材が不可欠だ 2023年1月に開催された@IT主催オンラインイベント「『予算や人が足りない』からこそ『データ』に頼れ デジタルシフト時代、エンドユーザーの期待に応える運用変革」において、千葉工業大学教授の角田仁氏が基調講演「オペレーションからエンジニアリングへ~運用管理の誤解を解き、仕組みと人材を革新して『過渡期の時代』を乗り切ろう~」と題して講演した。
mobsfscanとGithub Actionsによるモバイルアプリの継続的セキュリティチェック - Pepabo Tech Portal
こんにちは、EC事業部事業領域拡大チーム所属のTatsumi0000です!業務ではAndroidアプリ開発をメインに、時々iOSアプリの開発をしています。 EC事業部では、Chapterという活動をしています。Chapterとは、事業部内のチームを横断した組織で、フロントエンド、バックエンド、セキュリティなど、様々なChapterが存在しています(詳細については、後述します)。その中でも私はセキュリティChapterに参加し、Chapterのメンバーと一緒にいろいろな活動をしてきました。 この記事では、EC事業部で行っているChapterと、セキュリティChapterの活動の一環として、mobsfscanをgithub.comのGitHub Actionsで試した話について紹介します。 EC事業部のChapterとは mobsfscanをGitHub Actionsで試した おわりに EC
LLMを活用したサービスを社内外でリリース・運用した経験のある3社のエンジニアが登壇し、実運用を経たからこそ見えた課題やその解決策、運用を見据えた設計・実装の知見などについて語る「LLM in Practice -3社の実例から見るLLM活用サービスを運用した課題と学び -」。ここで株式会社LayerXの白井氏が登壇。「セキュリティチェックシート」をLLMに回答させる取り組みについて紹介します。 白井氏の自己紹介 白井仁美氏(以下、白井):「LayerX Biz Boost 〜セキュリティチェックシート一次回答の取り組み〜」と題して、LayerXの白井から発表します。 自己紹介です。ハンドルネームは「yakipudding」で活動しています。2023年3月にLayerXに転職してきて、機械学習エンジニアをやっています。 LayerXは法人向け支出管理サービス「バクラク」シリーズを提供してい
無料で定期的にAWS環境のセキュリティチェックができるinsightwatch、opswitchのご紹介 | DevelopersIO
はじめに 自動で定期的にAWS環境のセキュリティチェックができたら便利ではないでしょうか。 セキュリティチェックツールのinsightwatch(インサイトウォッチ)とジョブ管理ツールのopswitch(オプスウィッチ)を組み合わせて自動で定期的にセキュリティチェックしてみたいと思います。無料でできますのでぜひやってみてください。 1. insightwatchの初期設定 insightwatchはセキュリティチェックのツールです。 AWS環境のセキュリティ監査サービス insightwatch(インサイトウォッチ)by クラスメソッド まずはサインアップと手動でセキュリティチェックをするために必要な設定をします。手順は以下の記事をご覧ください。 [AWS]insightwatchを新規登録して使ってみた 2. insightwatchのチェック実行用URLの発行 手動でセキュリティチェッ
[アップデート] Security Hub に PCI DSS にあわせた自動セキュリティチェックが追加されました! | DevelopersIO
Security Hub が PCI DSS バージョン 3.2.1 にあわせた自動セキュリティチェックをサポートするようになりました。 AWS Security Hub launches security checks aligned to the Payment Card Industry Data Security Standard これまで CIS ベンチマーク (CIS AWS Foundations Benchmark) に対応していた Security Hub ですが、今回のアップデートにより PCI DSS v3.2.1 の要件チェックできるわけですね。すばらしい。 14 サービス 32 要件に対するチェック 今回の自動セキュリティチェックでは 14 の AWS サービスで 32 の PCI DSS 要件に対して継続的なチェックを行うことで、PCI DSS セキュリティのア
![[アップデート] Security Hub に PCI DSS にあわせた自動セキュリティチェックが追加されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/dc7a1f2f666326ca4098956974118282df10f4d6/height=288;version=1;width=512/https%3A%2F%2Fd1tlzifd8jdoy4.cloudfront.net%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-security-hub.png)
【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。(2019/12/23) EC-CUBE
【重要】クレジットカード流出被害が増加しています。EC-CUBEご利用店舗のセキュリティチェックをお願いいたします。(2019/12/23) 2019年5月より継続してご案内しておりますが、国内のECサイトにおいて、決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しています。 EC-CUBEでは特に2系をご利用の店舗でインストール時の不備や、過去発表された脆弱性対応がなされていない等をつかれて攻撃されるケースが多く発生しています。 該当バージョンをお使いの店舗様は以下をお読みいただき、必ず対策を行っていただきますようお願いいたします。 ===2020年1月21日 追記=========================================== EC-CUBEバージョン別 運用環境セキュリティチェックリストを公開しました
新型コロナウイルスの感染拡大及び緊急事態宣言の発令に伴い、多くの企業・組織でテレワークを実施していると思います。そのため、端末や外部記憶媒体を家に持って帰ったり、それまで許可していなかった私物端末の業務利用を一時的に許可したりして対応しているのでないでしょうか。 しかし、一般家庭におけるネットワーク環境は、企業・組織などのオフィス内のネットワーク環境と比較すると、外部からの攻撃に対してセキュリティ対策レベルが低いと考えられます。政府の緊急事態宣言の解除に伴い、順次、テレワークから通常のオフィス勤務に戻っていく際に、仮に自宅でマルウェア等に感染してしまった端末や外部記憶媒体を無防備に企業内ネットワークに接続してしまうと、企業内でマルウェア感染が拡大してしまう事態が懸念されます。また、今回の強引なテレワークの実現により、企業・組織におけるオフィス勤務の必然性を見直す好機となったことから、これか
猫は、段ボール箱の中に入ったり、狭い戸棚に体を押し込めたりするのが大好きだ。それはスーツケースも例外ではなく、「一緒に連れてけ」とストライキを起こしたり、愛用のぬいぐるみを入れて「持ってけ」と飼い主に命じたりする猫もいる。 このほど、休暇の為に向かった空港で、セキュリティ検査で引っかかった夫婦に予想外の出来事が起こった。 なんと、夫妻の飼い猫がスーツケースにこっそり忍び込んでいたのだ。
セキュリティチェックツール「Microsoft Baseline Security Analyzer(MBSA)」を継ぐものは?
山市良のうぃんどうず日記 MBSAの開発とダウンロード提供は数年前に既に終了 Microsoftが提供していた「Microsoft Baseline Security Analyzer(MBSA)」は、ローカルまたはリモートのWindows PCのセキュリティ更新プログラム適用状況や不適切なセキュリティ構成をスキャンしてレポートしてくれるツールでした。 最初のMBSAは「Windows 2000」以降に対応し、Windows Updateや「Windows Server Update Services(WSUS)」をオンラインで利用できない状況でも実行でき、全てのセキュリティ更新プログラムと推奨セキュリティ設定が企業内で維持されているかどうかをチェックできました(画面1)。 MBSAの用途について説明している以下のドキュメントでは、「Windows 8.1」および「Windows Serv
TerraformコードのセキュリティチェックでCheckovをGitHub Actionsに組み込んでみた - のぴぴのメモ
はじめに Checkovとは ローカルPCでの使い方 インストール (留意事項)レベルアップ 静的解析のやりかた 静的解析の実行方法 指摘事項のスキップ方法(Terraformのオブジェクト単位) 指摘事項のスキップ方法(ルール単位) GitHub ActionsへのCheckovの組み込み はじめに Terraformコードのセキュリティーチェックを行う必要があり、IaC用の静的コード解析ツールであるcheckovをGitHub ActionsのCIに組み込んでみた時のメモです。 最初にcheckovをローカルで実行する場合のやりかたを説明して、最後にActionsへの組み込み方法を説明します。 Checkovとは Checkovは、Infrastracture as code(IaC)コード用の静的コード解析ツールです。Checkovを利用することで、セキュリティやコンプライアンスの問
IaC Security入門 ~tfsecを用いたTerraformファイルのセキュリティチェック~ | IIJ Engineers Blog
2018年新卒入社し、SOCにてインフラ管理を担当。その後、マルウェア解析や検証業務などに従事。2022年度からは、社内のSREチームにて兼務を開始。主な保持資格は、CISSP, OSCP, GREM, GXPN, RISS, CKA, CKSなど。バイナリを読むのが好きで、一番好きな命令はx86の0x90(NOP命令)。 はじめに Infrastrucutre as Codeは、インフラの構成情報をコードとして管理するという取り組み・概念です。最近、といっても結構前からですが、このコード自体のセキュリティもチェックしようという動きがあります。それは、IaC Securityと呼ばれます。今回は、IaC Securityの入門として、Terraformを題材にセキュリティチェックを行うことができるtfsecを紹介します。 普段SOCでマルウェア解析をしている私は、兼務として社内のSREチー
先日、サイボウズがクラウドリスク評価「Assured(アシュアード)」を活用し、セキュリティ情報の開示を開始した。今回、サイボウズ 代表取締役社長の青野慶久氏、同 システムコンサルティング本部 ソリューションエンジニアリング部長の萩澤佑樹氏、Visionalグループであるアシュアード 代表取締役社長の大森厚志氏に、日本におけるセキュリティチェックシートのどこに問題があり課題なのか、そして今後に向けた提言などについて話を聞いた。 クラウドの利用拡大で増加するセキュリティチェックシート 企業では、ITシステムを導入する際に必要なセキュリティや可用性などの事項をリスト化し、導入企業のセキュリティポリシーを満たしているかチェックを行うが、その際に用いるリストがセキュリティチェックシートだ。 近年、急速なクラウドの利用拡大に伴い、ベンダーとクラウド利用事業者間における煩雑なセキュリティチェックシート
» 【令和おじさん】3000円のパンケーキを食べに行ったら、セキュリティチェックを受けることになりました 特集 こんにちは! 令和おじさんです。平成になったばかりの時は、まだ中学生だった私(佐藤)も、新元号を迎える今となっては、45歳。30年も経てばおじさんになって当然。これからは「令和おじさん」を強く自負して行きたいと思います。 さて最近、3000円のパンケーキが話題になっているとのこと。大の甘党の私は迷うことなく、それを食いに行くことにした。実際に行ってみると、なんとセキュリティチェックを受ける羽目になった。ただでさえ、不審者に見られることの多いこの私。スイーツ食いに行って、ゲート型の金属探知機を通ることになるとはね! セキュリティチェックを受けたのには訳がある。その理由は……。 ・セキュリティチェックの訳 3000円のパンケーキを提供しているのが、ホテルニューオータニのレストランだっ
[アップデート]Security Hubが AWS Organizations と統合!組織内セキュリティチェック環境を簡単にセットアップ/管理できるようになりました | DevelopersIO
はじめに 待ち望んでいたアップデートです。 Security Hubの Organizations 組織内 セットアップ/管理がより簡単になりました。 何が嬉しいか 今まで Security Hub は(Organizations 関係なく) マルチアカウント利用が可能でした。 マスターアカウント/メンバーアカウントの関係を作ることで、 マスターアカウントの Security Hub 上で メンバーアカウント分のセキュリティチェック(検出結果)を確認・操作できます。 しかし、マスターアカウント/メンバーアカウントの関係を作るには 事前にメンバーアカウントでも Security Hubを有効化しておく マスターアカウントが各メンバーアカウントへ招待を送る 各メンバーアカウントがその招待を受諾する 上記プロセスを経て実現していました。 AWS Organizations など利用しているような
![[アップデート]Security Hubが AWS Organizations と統合!組織内セキュリティチェック環境を簡単にセットアップ/管理できるようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d2c2cbb34cdcda62e4504734b6e345b95ceca145/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F04%2Faws-organizations.png)
セキュリティチェックシート回答の負担を軽減する6つの方法 | セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
業務委託を受けるときやサービスの利用申し込みがあった際、「弊社ではISMS(もしくはPマーク)を取得しているため、取引先にはセキュリティチェックシートへのご回答をお願いしております。」といったメール文面とともに、ExcelやWordで作成されたファイルが送られてきた経験のある方、多いのではないでしょうか。 セキュリティチェックシートは、取引先のセキュリティ状況を把握する上でとても重要なものですが、一方で 会社ごとに形式がまちまちでわかりづらい 質問の意味がわからず回答しづらい 専門知識が問われるため、各部署と連携せねばならず面倒 といったように、苦痛を感じられている方も多いです。 そこで、以下では「セキュリティチェックシートを回答するのが面倒!」という方向けの対応方法をご紹介します。 また、そのほかにも委託先管理にまつわる疑問やお悩みについて、こちらの記事でご紹介しています。あわせてお読み
こんにちは、上野です。 Infrastructure as Code (IaC) 、みなさん楽しんでおりますでしょうか。前から気になっていたcdk-nagを試してみたので、その紹介となります。 cdk-nagとは AWS Cloud Development Kit (AWS CDK) で作成する各Constructが、与えられたセキュリティ・コンプライアンスルール群に準拠しているかどうか検証してくれるツールです。CloudFormationテンプレートのセキュリティチェックツールである、cfn-nagに影響を受け作成されています。現時点では以下のルール群が提供されています。 AWS Solutions HIPAA Security NIST 800-53 rev 4 NIST 800-53 rev 5 PCI DSS 3.2.1 GitHubリポジトリで公開されており、AWS公式ブログでも
2022年6月16日、サイボウズの青野代表が「セキュリティチェックシートが抱える問題点」についてツイートしたところ、とても大きな反響がありました。本連載(全5回)では、セキュリティチェックシートの問題点を洗いだしながら、「クラウドサービスを利用するためのリスク評価とコントロール」について解説します。 とある先進的な大企業のエグゼクティブとお話した際、「さまざまなリスクがあるにもかかわらず、なぜクラウドサービスの利用をポジティブに認めているのですか」と質問したところ、「優秀な人が入社して、定着して活躍してもらうために必要だから」という回答をもらい面食らいました。 クラウドシフトが生産性や売上を上げるだけでなく、従業員の定着や活躍につながるという考えはそれまでの私にはない視点でした。日本企業が労働生産性を上げ国際競争力を高めるためには、クラウドの活用は不可欠であると思わざるを得ませんでした。
2022年6月、「セキュリティチェックシートが抱える問題点」がSNSで大きな話題になった。本稿では改めて問題を振り返り、SaaSを活用して解決を目指す方法を解説する。 「機密データは適切な方法で暗号化して保存していますか」「不正アクセスやマルウェア感染を防ぐためにどのような対策を講じていますか」――。SaaSをはじめとするクラウドサービスの導入検討に当たって、このような質問を数十、時には数百項目も並べた「セキュリティチェックシート」への回答をクラウドサービスベンダーに求めるのが一般的だ。新たなサービスを導入するたびに情報システム担当者は回答項目のチェックに追われる。 クラウドの活用はIT部門の負荷を下げると言われるが、実際には導入検討のたびにセキュリティ担当者が似たような項目が並ぶ「セキュリティチェックシート」のやりとりを繰り返しており、生産性が高いとは言えない状況だ。 Conoris T
Checkov + GitHubActionsでTerraform静的セキュリティチェックをする : yutaka0m blog
Checkovは、TerraformまたはCloudformationのための静的セキュリティ解析ツールです。 Pythonで記述されているため、pip install checkovでインストールし、CLIとして実行が可能です。 毎度ローカルで実行するのも手間なので、GitHubActionsを使い、プルリクエストのたびにセキュリティチェックを実施するサンプルを作成していきます。 Actionの定義 GitHubリポジトリで、Actions -> Set up a workflow yourselfを選択すると、GitHub Actionsの編集画面が表示されます。 エディタに次のコードを書き、保存します。 checkov.yaml name: Checkov on: push: branches: [ master ] pull_request: branches: [ master
2020年2月27日 『IoTセキュリティチェックシート 第2.1版』を公開しました。 報道関係各位 JSSEC、『IoTセキュリティチェックシート 第2.1版』公開 ~ IoT機器利用におけるアンケート調査を実施 ~ 一般社団法人日本スマートフォンセキュリティ協会 一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 佐々木 良一)の利用部会(部会長:後藤 悦夫)は、「IoTセキュリティチェックシート 第2.1版」(以下、本チェックシート)ならびにPR部会 調査分析WG(WGリーダー:小椋 則樹)と連携し、IoT機器利用におけるアンケート調査(以下、本アンケート調査)を実施した結果を本日より公開しました。 本チェックシートは、一般企業がIoTを利用・導入する際に検討すべきことを網羅的にまとめたもので、国際的なセキュリティフレームワーク(National Institute o
Conoris-セキュリティチェック支援
ラクに、安心、安全な、 セキュリティチェックをクラウドサービスセキュリティチェック支援サービスConoris
【告知】2022年6月20日(月) 18時よりTwitterスペースで座談会「セキュリティチェックシートをなんとかしよう!@SAJ」を開催しました。SAJ会長でもある、さくらインターネット田中社長に加え、Assured大森さん、Conoris井上さんも参加。録音したものを聞けますのでどうぞ! はじめに ソフトウェア協会(SAJ)で筆頭副会長を務めている青野慶久と申します。普段はサイボウズ社の代表をしています。 この度、IT業界で慣習となっている「セキュリティチェックシート」について、問題提起と課題の提案をさせていただきます。 概要「セキュリティチェックシート」とは、ITサービスのリスクを評価するために使われるチェック表です。 例えば、ある企業でクラウドサービスを導入するとき、提供者(ベンダー)のサービスが自社のセキュリティ基準に合致しているかどうかを確認(リスクを評価)するために、自社で作
クラウドリスク評価「Assured(アシュアード)」、クラウドサービス事業者のセキュリティチェック対応を効率化するサービス(無料)を開始
クラウドリスク評価「Assured(アシュアード)」、クラウドサービス事業者のセキュリティチェック対応を効率化するサービス(無料)を開始独自の情報共有機能で特許取得。個別対応件数が半分以上削減した事例も Visionalグループのビジョナル・インキュベーション株式会社(所在地:東京都渋谷区/代表取締役社長:村田 聡)が運営するクラウドリスク評価「Assured(アシュアード)」(https://assured.jp/ja/provider/)は、クラウドサービス事業者のセキュリティチェック対応を効率化するサービスを2022年2月15日(火)に正式リリースし、無料で提供を開始します。また、クラウドサービス事業者が、自社サービスのセキュリティ情報の公開範囲を設定できる独自機能で特許を取得したことをお知らせします。 クラウドリスク評価「Assured(アシュアード)」について Assuredは、
SecureNaviは7月26日、企業のセキュリティチェックに関する実態調査の結果を発表した。同調査は、企業のセキュリティ認証への取り組みが、セキュリティチェックシートの回答に与える影響を分析することを目的としたもので、2022年5月24日~2022年5月26日にかけて3005名を対象に調査が実施された。 調査結果の詳細は、同日に公開された「セキュリティチェックシートとセキュリティ認証に関する調査レポート」にまとめられている(レポートは、ITサービス導入における役割のうち、最終決裁者とセキュリティチェック担当を選択した対象者2194名を抽出して作成している)。 取引先や業務の委託先企業が、情報セキュリティに対する対策をどの程度行っているか確認するセキュリティチェックについての調査のうち、「Q. ITシステムの開発・運用の外注や、ITサービス(クラウドサービスを含む)の導入を行う際、事前に委
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティーチェックシートという闇への防衛術 - Qiita
たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita
クラスメソッド 標準セキュリティチェックシートを公開しました | DevelopersIO
![[VS Code]タブのカスタムラベル設定でpage.tsx、layout.tsxなどのファイルを見やすくする | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/611914e4c074abe947efa5c820fc1646e6c60a0a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F06%2Fvscode-2020-eyecatch-1200x630-1.png)
セキュリティチェックシートの書き方のヒント
日本と海外のクラウドサービスのセキュリティチェックシートの現状と課題|Conoris VRM Labo
「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”
なぜ、セキュリティチェックシートはなくならないのか|大森厚志
「Mirai」に備えよ、JPCERT/CCがIoTセキュリティチェックリストを公開
初級者でも分かる「情報セキュリティチェックリスト」を経済産業省が公開
セキュリティチェックシートに回答する“つらみ”はLLMで解消 セキュリティ担当者に「本格運用できるんじゃない?」と言わせた仕組み
緊急事態宣言解除後のセキュリティ・チェックリスト | 特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
空港のセキュリティーチェックで、スーツケースを開けたら飼い猫が混入していた件。夫婦びっくり : カラパイア
「セキュリティチェックシートの問題を解決すべき」 - サイボウズ 青野社長
「Adobe Acrobat Reader」がセキュリティチェックをブロックか ~イスラエルの会社が指摘/セキュリティソフトのDLLインジェクションを無効化
【令和おじさん】3000円のパンケーキを食べに行ったら、セキュリティチェックを受けることになりました
LINEでセキュリティチェック、リンクを貼るだけで危険度を判定する「ウイルスバスター チェック!」 トレンドマイクロが無償提供、個人情報の流出状況も確認可能
cdk-nagを使用したAWS CDKのセキュリティチェック ~基本編~ - NRIネットコムBlog
複雑化する「セキュリティチェックシート」の問題 情シス目線で現状とリスクを整理
アナログ過ぎる「セキュリティチェックシート」チェック問題 導入担当者の負荷は軽減できるか
『IoTセキュリティチェックシート 第2.1版』を公開しました。 | JSSEC
セキュリティチェックシート問題を解決するための大まかな課題設定|青野慶久
セキュリティチェックで重視する項目は「セキュリティ認証の取得の有無」
sakata-tsushin.com
arika.lo.gob.jp
kofukutrading.com
anketo-tatsujin.com
kofukutrading.com
note.com/frey33