サイボウズのセキュリティ室

サイボウズ株式会社のセキュリティ室です。セキュリティ文書や書籍の紹介・まとめ記事を公開…

固定された記事

ISMAP概要（監査編）。ISMAPの監査はどのようになされるか解説します。

ISMAP 概要（監査編）前回の記事では、ISMAP制度について紹介をさせていただきました。今回はISMAPを自社のクラウドサービスの利用基準として使えるか検討されている方、並びにISMAPクラウドサービスリスト（以下、単にリストとします。）への登録を目指すクラウドサービス事業者様に参考となるような監査の実際のところを解説したいと思います。前回の記事(制度編）はこちら。ポイントこの記事ではポイントを以下の３つに絞って解説します。監査機関による監査を受ける必要があ

ISO27001:2022 対応日記　ドキュメントの修正編

すみません。ISMS・ISMAPの作業に追われていて記事を作成する時間がなかなか取れませんでした。移行審査に向けた作業は順調に進んでいます。前回の記事では、移行計画の承認についてお伝えしました。この記事では、サイボウズのISMS移行審査について、継続して投稿しています。今回は、ISMSのプロセスを定めた「ISMSマニュアル」の修正点について書きました。 ISMSマニュアルとは？ISMSはマニュアルに従って実施する ISMSは定められた手順に従って、実施する必要があ

サイボウズのセキュリテ…

7日前

1
ISO27001:2022 対応日記　移行計画承認編

前回の記事では、審査後のリフレッシュ方法についてお伝えしました。本記事で紹介している書籍はこちらで、以下 ISMS本とします。図解即戦力　ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査について書きます。今回はサイボウズの ISMS を、ISO/IEC27001:2022 版に準拠するように変更するため、変更計画書を策定し、承認を得ましたので、そのことについて記載します。

サイボウズのセキュリテ…

5か月前

5
ISO27001:2022 対応日記　リフレッシュ編

前回の記事では、審査の実際について記事を書きました。前回の記事において、審査は精神的に疲れるためリフレッシュが必要であることをお伝えしました。サイボウズ ISMS事務局で試したリフレッシュ方法をお伝えしますので、参考にしていただければと思います。 ISMS反省会会場を新橋に移し、ISMS審査における反省会を実施しました。ひとりひとり別の審査員に帯同するため、他のメンバーの状況がわからないので、どのような質問を受け、どのような資料を使って対応したか、詳細にわたって情報を共

サイボウズのセキュリテ…

6か月前

6

固定された記事

ISMAP概要（監査編）。ISMAPの監査はどのようになされるか解説します。

サイボウズのセキュリティ室

1年前

ISO27001:2022 対応日記　ドキュメントの修正編

1

サイボウズのセキュリティ室

7日前
ISO27001:2022 対応日記　移行計画承認編

5

サイボウズのセキュリティ室

5か月前
ISO27001:2022 対応日記　リフレッシュ編

6

サイボウズのセキュリティ室

6か月前

ISO27001:2022 対応日記　審査編

前回の記事では、ISMSが新規格となり、移行審査が必要であり、移行審査の前にISMS関連ドキュメントを新規格に対応させる必要があることを書きました。本記事で紹介している書籍はこちらで、以下 ISMS本とします。図解即戦力　ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査について書きます。 [05] ISMS適合性評価制度の概要ISMS-AC 2018年4月より ISM

サイボウズのセキュリテ…

6か月前

12
ISO27001:2022 対応日記　審査編

12

サイボウズのセキュリティ室

6か月前
ISO27001:2022 対応日記　計画編

前回の記事では、ISMSが新規格となり、対応が必要であることを紹介しました。本記事で紹介している書籍はこちらで、以下 ISMS本とします。図解即戦力　ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査計画について書きます。 ※記事公開後、コメントをいただき一部記述を見直しました。ご指摘ありがとうございます。 [04] 情報セキュリティマネジメントシステムとは？情報セキュリ

サイボウズのセキュリテ…

7か月前

10
ISO27001:2022 対応日記　計画編

10

サイボウズのセキュリティ室

7か月前
フィッシング対策協議会に加盟しました。

2023年6月、フィッシング対策協議会に加盟しました。フィッシング詐欺が横行しており、さまざまなブランドのフィッシングサイトが構築され、被害が出ている状況です。フィッシング対策協議会とはフィッシングに関する情報の収集と提供を行う、またフィッシングに関する注意喚起などの活動を中心とした対策の促進を行っている団体です。メンバーフィッシングの攻撃対象となりうる事業者・団体フィッシングに対する防御手段を提供する事業者など、により構成されています。ワーキンググル

サイボウズのセキュリテ…

8か月前

7
フィッシング対策協議会に加盟しました。

7

サイボウズのセキュリティ室

8か月前
ISO27001:2022 対応日記　序章

2022 年の改定 ISO27001(ISMS)の規格が2022年に改訂されました。管理策が統合されたり、新たな管理策も追加されています。サイボウズでも ISMS の認証を取得しており、2022年版への移行が必要です。移行期間は 2022年10月31日から 3年以内とされており、2025年10月31日までには、移行審査を完了している必要があります。サイボウズの移行審査時期サイボウズでは、2023年の審査が、再認証審査となっており、ISMS審査が全範囲におよび審査に

サイボウズのセキュリテ…

9か月前

22
ISO27001:2022 対応日記　序章

22

サイボウズのセキュリティ室

9か月前
「セキュリティ対応組織の教科書　第3.0版」の紹介

2023年2月、日本セキュリティオペレーション事業者協議会 (ISOG-J) より「セキュリティ対応組織の教科書第3.0版」が公開されました。今回はこちらを紹介します。本書について企業内のSOC、CSIRT、内部統制担当、CSO、CISOやそういった方をサポートする方々に向けて書かれたもので、自分たちのセキュリティ組織は何ができていて何が足りないのかを把握して今後の実現方法を示す、実用書のような位置づけです。それぞれの立場に応じて意識すべき観点も記されており、現在

サイボウズのセキュリテ…

10か月前

10
「セキュリティ対応組織の教科書　第3.0版」の紹介

10

サイボウズのセキュリティ室

10か月前
書籍「小さな企業がすぐにできるセキュリティ入門」の紹介

近年、どのような会社でもセキュリティ対策が求められるようになってきました。背景として、どの業界でもパソコンやスマホを利用した業務が存在し、ITの活用なしに事業を進めることが困難になっていることが挙げられます。しかし、小さな企業は、かけられる手間も少なく、大きなセキュリティ投資がしくにい事情もあると思います。本書では、お金をかけずにできる対策、手間をかけずにできる対策という観点で小さな企業でも、実施すべきセキュリティ対策を難しい専門用語を使わずに解説されています。お金、手

サイボウズのセキュリテ…

10か月前

8
書籍「小さな企業がすぐにできるセキュリティ入門」の紹介

8

サイボウズのセキュリティ室

10か月前
中小企業の情報セキュリティ対策ガイドラインの紹介

4月26日に IPA より「中小企業の情報セキュリティ対策ガイドライン第3.1版」が公開されました。小規模の事業者様でも、攻撃を受けるケースが多発しています。また、取引先からセキュリティ対策を求められるケースも増えてきているのではないでしょうか？しかし、セキュリティ対策といっても、何から手を付けていいのかわからない経営者の方、セキュリティ対策を指示された方も多いと思います。IPA さんの「中小企業のセキュリティ対策ガイドライン第3.1版」を読んで、対策を進めていくこと

サイボウズのセキュリテ…

11か月前

15
中小企業の情報セキュリティ対策ガイドラインの紹介

15

サイボウズのセキュリティ室

11か月前
CSIRTの構築・運用を解説した書籍 "CSIRT" を紹介

今回は書籍 "CSIRT" （以下 CSIRT本）を紹介します。発行が2016年11月となっており、内容が古い部分もありますが、構築・運用方法の原則的な部分は変わりません。CSIRT の最新の情報を得られる日本シーサート協議会（以下 NCA）の紹介もさせていただきます。 CSIRTとは？自組織の重要な情報資産を守るためのチームで Computer Security Incident Response Team の略です。攻撃者の特徴CSIRT本は情報が古い（2016年）

サイボウズのセキュリテ…

1年前

15
CSIRTの構築・運用を解説した書籍 "CSIRT" を紹介

15

サイボウズのセキュリティ室

1年前
kintoneユーザー必読！kintoneガバナンスガイドラインのポイント

kintone は開発なしにアプリを作成できるノーコード・ローコード開発ツールで「現場が主体となってアプリを作成できる」という特徴があります。 kintone の柔軟性ゆえ、統制をとることが難しくなり、機密性の高い情報が広く閲覧できる設定になっていた、業務で大切なアプリが突然削除されてしまった、などの事故が発生してしまう可能性があります。 kintone の柔軟性を生かしつつ、統制を利かせるため kintone 利用におけるガバナンス文書を作成し、運用することが

サイボウズのセキュリテ…

1年前

8
kintoneユーザー必読！kintoneガバナンスガイドラインのポイント

8

サイボウズのセキュリティ室

1年前
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル３）

前回の紹介記事では、PSIRT のプロセスを一通り経験し、経験値を蓄える段階（レベル２）について書きました。今回は、PSIRT のプロセスを何度も実施している PSIRT がエリートになるためのレベル３を紹介します。レベル３の PSIRT がいる組織では、製品の脆弱性の発見、分析し、対策版のリリースなどのプロセスを開発者を含めた内部のステークホルダ全員が理解しており、PSIRT が誰で、何をしているか理解しており、製品の脆弱性に関する大きな問題に対処してきた経験があります

サイボウズのセキュリテ…

1年前

5
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル３）

5

サイボウズのセキュリティ室

1年前
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル２）

前回は、PSIRT をゼロから構築するレベル１を紹介しました。今回は、いくつか脆弱性に対応し、より高度なことが求められるようになった PSIRT レベル２について紹介します。運用基盤経営からの信頼を得ること、PSIRT の権利を記述した憲章を確立し、ポリシー、基準、ガイドラインを定めましょう。また、予算を確保し、スタッフを揃え、必要なツールを調達しましょう。ステークホルダマネジメント製品の脆弱性を発見した場合、誰が何をすべきか、社内の関係者がプロセスと役割を理解して

サイボウズのセキュリテ…

1年前

1
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル２）

1

サイボウズのセキュリティ室

1年前
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル１）

前回紹介した PSIRT Services Framework は PSIRT がやるべきことを網羅的にまとめたドキュメントです。今回紹介する PSIRT Maturity Document （以下、Pマチュ）は、PSIRT をゼロから構築し、成熟させる手順をステップバイステップで解説しています。日本語版は、日本シーサート協議会と Software ISAC で翻訳し、FIRST 加盟チームがレビューしています。 PSIRT として活動したことがなく、チームの立ち上げか

サイボウズのセキュリテ…

1年前

4
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル１）

4

サイボウズのセキュリティ室

1年前

最近の記事

ISMAP概要（監査編）。ISMAPの監査はどのようになされるか解説します。

ISO27001:2022 対応日記 ドキュメントの修正編

ISO27001:2022 対応日記 移行計画承認編

ISO27001:2022 対応日記 リフレッシュ編

ISMAP概要（監査編）。ISMAPの監査はどのようになされるか解説します。

ISO27001:2022 対応日記 ドキュメントの修正編

ISO27001:2022 対応日記 移行計画承認編

ISO27001:2022 対応日記 リフレッシュ編

ISO27001:2022 対応日記 審査編

ISO27001:2022 対応日記 審査編

ISO27001:2022 対応日記 計画編

ISO27001:2022 対応日記 計画編

フィッシング対策協議会に加盟しました。

フィッシング対策協議会に加盟しました。

ISO27001:2022 対応日記 序章

ISO27001:2022 対応日記 序章

「セキュリティ対応組織の教科書 第3.0版」の紹介

「セキュリティ対応組織の教科書 第3.0版」の紹介

書籍「小さな企業がすぐにできるセキュリティ入門」の紹介

書籍「小さな企業がすぐにできるセキュリティ入門」の紹介

中小企業の情報セキュリティ対策ガイドラインの紹介

中小企業の情報セキュリティ対策ガイドラインの紹介

CSIRTの構築・運用を解説した書籍 "CSIRT" を紹介

CSIRTの構築・運用を解説した書籍 "CSIRT" を紹介

kintoneユーザー必読！kintoneガバナンスガイドラインのポイント

kintoneユーザー必読！kintoneガバナンスガイドラインのポイント

製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル３）

製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル３）

製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル２）

製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル２）

製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル１）

製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい？成熟させるには？PSIRT Maturity Document 紹介（レベル１）

ISO27001:2022 対応日記　ドキュメントの修正編

ISO27001:2022 対応日記　移行計画承認編

ISO27001:2022 対応日記　リフレッシュ編

ISO27001:2022 対応日記　ドキュメントの修正編

ISO27001:2022 対応日記　移行計画承認編

ISO27001:2022 対応日記　リフレッシュ編

ISO27001:2022 対応日記　審査編

ISO27001:2022 対応日記　審査編

ISO27001:2022 対応日記　計画編

ISO27001:2022 対応日記　計画編

ISO27001:2022 対応日記　序章

ISO27001:2022 対応日記　序章

「セキュリティ対応組織の教科書　第3.0版」の紹介

「セキュリティ対応組織の教科書　第3.0版」の紹介