Q&A
ありがとうございます!まさにこういったものを求めておりました。参考になります。
もし、ご存知でしたらでかまわないのですが、おすすめのセキュリティ会社などありましたら教えていただけないでしょうか?
ISO取得に関しても並行して進めていこうかと思います!
いつもお世話になっております。
リリースしたサービスがユーザー数が増え始めたため、そろそろISO27001の取得などに踏み出そうかというフェーズになりました。
それで、いろいろ調べたり取得コンサルの方に話をきいたのですが、
ISO27001もプライバシーマークも「**実際にセキュアなシステムとなっていること」**のレビューというより「セキュアなシステムを運用できる体制ができているか」のレビューなんじゃないかと感じました。
そういったマークを取得することも重要なのですが、実際問題システムがセキュアになっていることにもお金とパワーをかけたいと考えています。
そういった場合、どのように進めていくのが常套手段なのでしょうか?
例えば、IPAのガイドラインの確認などは行っているのですが、
できれば第三者レビューなどがあると安心して進められるなと考えています。
フワッとした質問で申し訳ないのですが、どんな小さなことでも構いませんので、ご意見いただけますと大変助かります。
回答6件
0
ベストアンサー
ご懸念のように、ISO27001の認証とったから作っているシステムがセキュアになるとは、とても思えないですね。
以下のようなステップを踏まれるとよいと思います。
1)アプリケーションの脆弱性診断
短期的には、システムの脆弱性を確認してそれを修正することによりシステムが安全になるわけですが、中・長期的には、自社開発チームの弱点把握の材料になります。それを次のステップにつなげます。
2)開発者の教育
開発者にセキュリティの知識がないと脆弱性をどんどん作ってしまうので、これは重要です。書籍、講習会などがあります。ウェブの記事は間違ったものが多いので、あまりあてにしないほうがよいでしょう。
私の過去のブログですが、「ウェブの記事はあてにならない」材料として
また、勉強しただけでは本当に身についたかどうかはあてにならないので、テスト等もしますが、脆弱性診断で脆弱性が見つかった際などに、脆弱性が混入した根本原因を分析して、教育や、次項のガイドラインに反映します。
3)開発ガイドラインの策定
開発者がセキュリティの基本を身につけたとしても、作り方が担当ごとにまちまちだと、品質管理でいう「ムラ」がある状態になり品質、ひいてはセキュリティが安定しません。開発標準の中にセキュアコーディングの内容を盛り込むとよいです。
4)品質システムの改善
3)までができている会社がまだまだ少ないのですが、仮にそこまで到達したとして、次に(…でもないですが)目指すものは品質システムの改善です。自社のセキュリティのレベルを監視して、改善ポイントを探し、そこに手を入れていきます。このプロセスそのものは、ISO27001等と同じフレームワークが使えますが、4)にならないと安全なシステムができないのでは困りますよね。なので、1)~3)はフレームワーク抜きでもやってしまったほうが早く安全な状態になります。
投稿2018/10/10 13:58
総合スコア11701
0
セキュリティ会社が攻撃テスト(ペネトレーションテスト)をやっていると思います。
基本ソフトの範囲の脆弱性であれば、自分でもテスト出来るようですが、
アプリケーションレベルの脆弱性であれば、専門家に委ねた方が良いでしょうね。
ただ、こういうのは「ある時点に於いてシステムがセキュアであった」という事しか保証しないので、継続的にセキュアであることの保証のためには、
ISO27001もプライバシーマークも「実際にセキュアなシステムとなっていること」のレビューというより「セキュアなシステムを運用できる体制ができているか」のレビューなんじゃないかと感じました。
こちらのことも考えた方が良いと思います。
投稿2018/10/10 12:16
総合スコア84505
0
進め方や、考え方は以下の資料が網羅的です。
政府機関等の
情報セキュリティ対策のための統一基準
投稿2018/10/10 11:58
退会済みユーザー
総合スコア0
0
質問者です。
みなさまにいただいたアドバイスを踏また上、脆弱性対策・ペネトレーションテストを行なっている会社に来ていただき、見積もりや説明などを受けました。
ただ、どこも基本的にはリクエスト(おそらく1APIの事だと考えればいいとおもうのですが)単位の料金計算になっており、APIの本数の多い我々のようなSaaS型アプリケーションだと、かなりの金額になってしまいました。
(いろいろディスカウントをしてもらっても200万〜とか)
もちろん、こちらは一回受けたらOKというものではなく、機能改修が積み重なったら定期的に受けるのが望ましいものになります。
結論、機能改修が多く、また予算も限られている我々のフェーズでは時期尚早という判断をしました。
もちろん、開発者の教育、ドキュメント・ガイドラインの整備、ポリシーの策定などは自分たちでできるものなので行なっていきます。
基本的にはIPAのドキュメントはよく整備されているので同じ状況にいる方にはおすすめです。
(IPAやNISCのドキュメントに関しては上位回答の方のコメントやブログ記事をご参照ください)
脆弱性診断においても、外部に依頼することは見送りましたが、自動ツールによるCIという形での診断は可能そうで、そちらで進めようかと思っています。
候補としては、OSSのツール系では
OWASP ZAPや
SaaS型サービスではVaddy、Walti
などが候補にあがりました。Vaddyは料金が発生しますが、かなり楽にセットアップできたのでおすすめです。
また、Rails限定にはなり、脆弱性検査とは違いますがbrakemanによるコードチェックも有効かと思います。
こちらは、我々はすでに実施済みでしたが、今回を機にCIに乗せることにしました。
使っているインフラによりますが、WAFの導入なども検討されると良いかもしれません。
類似した状況にいるスタートアップの方の助けに少しでもなれていれば幸いです。
間違っている点、お気づきの点などございましたらコメントいただけますでしょうか。
投稿2018/10/24 06:53
編集2018/10/24 07:53総合スコア824
個人的な思いも多分に含んだコメントとなりますが、脆弱性診断/ペネトレーションテストは、「組織・方針・実装」が整った状態で初めて意味のあるものになるので、スタートアップの段階で実施しても、費用対効果は薄いと思います。
ISMSと同じく、「守られていることを第三者によって保証させる」手段として使用すべきです。つまり、「実装できたから確かめてみよう」って段階で役に立ちます。
実務においてセキュリティ対策は、「組織・方針・実装」を「計画」「運用」し、それを「監査」すべきで、「ISMS」や「脆弱性診断/ペネトレーションテスト」はそれぞれ、「組織・方針」「実装」の監査にあたります。
スタートアップでは、「監査」より「計画」「運用」にお金をかけるのが適切な分配と思われるので、回答したリンク先(スタートアップ向けではないですが^^;)を参考に、「組織・方針・実装」の骨子を作り、ブレイクダウンしていく方法をオススメします。
> te2jiさん
コメントありがとうございます!
いただいたNISCのリンクももう一度しっかり確認しておきます。
ちなみにですが、ISMSはそれはそれで取得に向けて動き出そうとしております。
(これはどちらかというと、プロモーション目的の要素のほうが強いのが本音ですが...)
その中でベンダーの方にスケジュールとToDoなどを見せてもらったのですが、
>「組織・方針・実装」を「計画」「運用」
の「組織・方針」を「計画」するという内容と類似しそうな項目が多く見受けられたように思いました。
基本的にはISMSのフレームワークに乗っ取って進めていくというアプローチでよいのでしょうか?
(もちろん形骸化させず、しっかりと「運用」していくという前提の話にはなると思いますが。)
そうですね。ISMS認証は、「計画」「運用」が正しく行われていて、実務ベースに落とし込まれているかを「監査」するものなので、フレームワークとして適切なものだと思います。
「認証を取る」ことに意識を向けすぎると、途端に実務と乖離するので注意が必要です。コンサルだと「取ること」に集中するところもあるので、自社でキチンとマネジメントしてください。
0
- 某セキュリティ会社に駆け込んでくる「やられてしまった会社」の80%はSQLインジェクションとのことです。
- Cyber-Risk Oversightによると、サイバー侵入の85%を予防するには、4つの基本的なセキュリティ管理が有効であるとされています。
a. ユーザーのアプリケーションインストールを制限する(「ホワイトリスト」)。
b. オペレーティングシステムが現在のアップデートで「パッチ適用」されていることを確認する。
c. アプリケーションが定期的に更新されるようにする。
d. 管理者特権の制限(ソフトウェアのインストールやコンピュータの構成設定の変更など)
3. 守るべき資産とそうではない資産を正しく棚卸して、投資の範囲を決定するべきです。100%守れるということはあり得ないでしょうから、ある意味、保険でカバーするという割り切った考え方を適用するのも戦略の一つといえます。
4. ISMSやガイドラインを参考にしつつ、自社の最大のリスクは「ネットワーク&システム」なのか、「プロセス」なのか、「組織」や「人」や「ステークホルダー」なのかを検討されることをお勧めします。
投稿2018/10/16 08:41
総合スコア12
ご回答ありがとうございます!
また、返信おそくなってしまい、申し訳ありません。
OS層ネットワーク層は僕らの場合、PaaSベンダーがとてもよくやってくれていて僕らは更新情報を確認するくらいで済んじゃっています。
アプリケーション層は、現在も監視ツールを定期実行してますが、怖いですね。。この前もSQLインジェクションが追加機能実装時に入ってて、急遽デプロイを止めました。ので、今はCIに乗せるようにしました。
どちらにしても、ISMSを取得しつつ、ご指摘いただいた内容の検討をすすめていきたいなと思います!
ご回答ありがとうございます!
0
「サクッと手始めに」という視点では情報セキュリティポリシーの策定を短期目標にしてみてはいかがでしょうか。その過程で経営者視点で資産・脅威・リスク等を整理・認識・評価する事ができると思うので、その後のセキュア化のアクションを考える上での指針になると思います。
投稿2018/10/10 12:47
編集2018/10/10 12:48
総合スコア6142
ありがとうございます!ちょうど今日話をきいてみたISO取得コンサルの方も同じことをおしゃっていました。検討してみよおうかと思います!
という事は、これが定石(常套手段)と言えるかもしれませんね。あと個人的には、経営者も含めた全員に対するセキュリティ教育に重きを置きながらその後の対応を考えると良いと思ってます。セキュアな環境を実現できると良いですね、頑張ってください。
ありがとうございます!
どちらにしてもISO27001も並行してすすめていこうかと思います!
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/10/11 01:21
2018/10/11 05:26
2018/10/11 07:48