セキュリティバイデザインでセキュリティ対策を効率的に

記載されていることを3行で

• 整備・管理に関しての、手続き・手順に関する方針・事項・役割

• セキュリティリスク評価とリスク管理に必要となる関係者の役割の定義

• 開発・運用工程で参照可能なセキュリティ標準や、チェックリスト、リスク評価例、クラウドにおける実施および監査方法

所感
単に脆弱性診断をやれ、ではなく、開発の全体設計をきちんと理解した上で診断を行うことを取り決める必要がある。

今回の参考文献
政府情報システムにおける セキュリティ・バイ・デザインガイドライン

なぜ診断だけ実施するのでは問題があるのか

• 従来型の境界対策のみでは標的型攻撃等の高度サイバー攻撃への対応が困難である

• 政府全体で資産・ユーザ等の継続的な状態把握ができていない

• 監視機能の性能が、監視する専門家の能力に依存している

• 統一基準群への準拠状況を常時的に把握する手段がない

• 省庁内部でのインシデントの兆候把握ができない

ガイドラインの内容(ざっくり)

統一基準群で示されるセキュリティ対策に係る基本的な考え方と実践のポイントをふまえ、下記の4テー マについて統一基準群を具体化した技術ガイダンスを作成。今回は、Informativeな文書として位置づけ る。なお、将来的には内容を改訂し、各府省庁への適用することを視野にいれている。

概要

情報システムに対し効率的に セキュリティを確保するため、 企画から運用まで一貫したセ キュリティ対策を実施する 「セキュリティ・バイ・デザ イン」の必要性が高まってい る。本書ではシステムライフ サイクルにおけるセキュリティ対策を俯瞰的に捉えるた め、各工程での実施内容を記 載すると共に関係者の役割に ついても定義する。

引用元 : セキュリティ関連技術ガイドライン群 (digital.go.jp) / デジタル庁セキュリティTF

ガイドラインの中身が知りたいのではなく、目的が知りたい人向けまとめ

ガイドラインの内容は全く読まなくていいです。
重要なのは、"どんな機関"が"誰"に向けた"何について"のガイドラインで"何を目的としているか"。

Who

NISC=内閣サイバーセキュリティセンター
NISCの役割 : 日本のサイバーセキュリティ戦略の立案、推進。主な活動は、サイバー攻撃に関する情報収集や分析、それらを元にしたガイドラインの制定

Whoes

政府機関向け 、 ただし、NISCの本来の目的から鑑みると、政府ではこれを基準としてやります。一般企業も目標にしてください。マネしてくださいという裏がある

What

情報システムに対し効率的にセキュリティを確保するため、企画から運用まで一貫したセキュリティ対策を実施する「セキュリティ・バイ・デザイン」の推進

Why

近年の情報システムは、絶え間なく、多種多様なセキュリティ脅威に さらされるため、システムの開発工程だけでなく、システムの運用工程のセ キュリティ確保も同様に重要となり、開発工程と運用工程の双方において、 シームレスで一貫性のあるセキュリティ対策が求められる

さらにWhy

開発の全体設計をきちんと理解した上で診断を行うことを取り決める必要がある！
開発の全体設計見れていますか？の注意喚起

あとがき

"なぜ診断だけ実施するのでは問題があるのか"において、
＞監視機能の性能が、監視する専門家の能力に依存している
という課題があるが、この課題の解決方法について、
AIがセキュリティで大活躍しそう
で解説しました。