Upgrade to Pro — share decks privately, control downloads, hide ads and more …

いざ、BSC討伐の旅

nikinusu
November 13, 2024

 いざ、BSC討伐の旅

nikinusu

November 13, 2024
Tweet

More Decks by nikinusu

Other Decks in Technology

Transcript

  1. セキュリティチェックリストとは 組織のベースラインとして満たすべきセキュリティ要件をチェックリスト化したもの。 2 Policy Standards Baselines Guidelines Procedures このあたり 分類

    例 業界の統制文書 • FISC 安全対策基準 自社グループの統制文書 • グループ共通のセキュリティ標準など 外部のベストプラクティス類 • OWASP Japan Webシステム/Webアプリケー ションセキュリティ要件書 • 外部ベンダによる脆弱性診断の観点から逆算した セキュリティ要件 • クラウドベンダのベストプラクティスフレームワーク類 • NIST-SP800シリーズなど 自社ローカルルール • 過去のヒヤリハットを要件化したものなど 位置づけ 主なインプット
  2. 使いどころ システム開発プロセスの中で2つの目的・4つの出番 1. サードパーティの評価 2. システムの開発・改修における品質確認 3 要件定義 設計 開発

    テスト リリース 運用 企画 2ー① 中間評価 2ー② 最終評価 システム評価(セキュリティ担当) 1ー① 契約前 1-② 契約後・年次 サードパーティ評価(委託先管理担当)
  3. 魂を注ぎ育てあげたBSC 過去3年間で数千万円、数千時間を費やして怒涛の10回改訂。 総数は増えつつも、実質的な回答数は大きく変わらないように抑制。 加えて、10時間分の教育(要件解説)コンテンツも提供。 6 版数 改定時期 改定項目数 項目総数 一般パターン

    要回答数 第1版 2021年4月 740 131 第2版 2021年7月 35 742 133 第3版 2021年12月 57 770 151 第4版 2022年4月 29 776 156 第5版 2022年7月 30 792 157 第6版 2022年10月 1 792 152 第7版 2023年1月 88 837 148 第8版 2023年7月 77 854 149 第9版 2024年4月 117 887 145 第10版 2024年7月 12 891 146 +151 +15 コンテナ要件の追加 クラウド要件の全面見直し OWASP Webシステム /Webアプリケーションセキュリ ティ要件書 取り込み
  4. 13 どうしてこうなった そもそも外部サービスを使うのは、ビジネスの機能を疎結合にしてスピーディに価値を提供したいから 疎 ノーチェック 細部の評価 改善の強制 (理想)リスクに応じた力加減での 「身だしなみの確認」 無関係の他社

    グループ会社など サードパーティ事業者 密 しかし責任は密結合。その割に基準は曖昧で個社任せ 各社バラバラ&過剰に密な管理(BSC管理)へ… <金融分野におけるサイバーセキュリティに関するガイドライン>
  5. 解決の方向性(案) 14 外部評価の活用 & BSCの極小化 ロードを下げて 同じモノサシで (皆がそうなら仕方ない) 重い作業負荷 揉める改善調整

    明かされない真実 すれ違うやりとり <金融分野におけるサイバーセキュリティに関するガイドライン> 餅は餅屋に 外部評価を活用して「評価基準の統一」と「一定の距離感」を「みんなで進める」 ISMAP SOC2 Secure SketCH Assured etc…
  6. 外部評価サービスを評価してみた 評価項目の確認 18 ➢ 一定の網羅性がありイイ感じに見えるが、深度の面で物足りない ex. セキュアコーディングの個々の対策は?クラウド保護の詳細は?etc 利用企業へのインタビュー ➢ 評価の質は高評価

    ➢ 反面、以下の課題 ➢ 利用したいサービスの網羅率 ➢ 評価のスピード感 ➢ BSC適合率 ➢ 再委託先(フォースパーティ)の評価不可 ➢ (もっと活用したいが)セカンドオピニオン、限定利用どまり #上記全般的に、自業種だけ細かすぎる自覚はありつつ。