活動紹介
活動成果
脆弱性トリアージガイドライン作成の手引き (2024年11月)
【WG1】ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト」は、「脆弱性トリアージガイドライン作成の手引き」の第2章以降を公開しました。
ASM導入検討を進めるためのガイダンス(基礎編) (2024年11月)
【WG1】ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト」は、「ASM導入検討を進めるためのガイダンス」を公開しました。
セキュリティ対応組織の教科書 第3.2版(2024年10月)
【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 第3.2版」を公開しました。「セルフアセスメントシート」も第2.1版から刷新し付録として公開しました。
脆弱性トリアージガイドライン作成の手引き (2024年5月)
【WG1】ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト」は、「脆弱性トリアージガイドライン作成の手引き」を公開しました。
Webアプリケーション脆弱性診断ガイドライン 第1.2.4版 (2023年11月)
【WG1】第1.2.3版について、PostgreSQLのシグネチャに誤りがあったため、修正したものを第1.2.4版としてコミットしました 。
セキュリティ対応組織の教科書 第3.1版(2023年10月)
【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 第3.1版」を公開しました。「サービスポートフォリオシート」も付録として公開しました。
細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント (2023年4月)
【WG1】 ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである 「新技術に対する診断手法分科会」は、「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開しました。
セキュリティ対応組織の教科書 第3.0版(2023年2月)
【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 第2.1版」の改版に向けて議論を続けてきました。2021年10月に公開されたITU-T勧告X.1060、X.1060の日本語版の標準となるTTC標準JT-X1060に合わせた形での全面的な改版となります。
アジャイル開発におけるセキュリティ|パターン・ランゲージ(2022年7月)
【WG1】 ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」において、「アジャイル開発におけるセキュリティ|パターン・ランゲージ」を公開しました。
デジタル庁 「DS-221 政府情報システムにおける脆弱性診断導入ガイドライン」へ助言・協力(2022年6月)
【WG1】デジタル庁「DS-221 政府情報システムにおける脆弱性診断導入ガイドライン」にWG1が助言、協力をしました。
Webシステム/Webアプリケーションセキュリティ要件書 Ver.4.0(2022年6月)
【WG1】 ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」において、「Webシステム/Webアプリケーションセキュリティ要件書 Ver.4.0」を公開しました。
Webアプリケーション脆弱性診断ガイドライン 第1.2版(2022年3月)
【WG1】 ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」において、「Webアプリケーション脆弱性診断ガイドライン 第1.2版」を公開しました。
GraphQL脆弱性診断ガイドライン (2021年12月)
【WG1】WG1における「新技術に対する診断手法分科会」では、日本でも普及が進むGraphQLにおける脆弱性の概要や開発者が自身でテストできるような診断手法の確立を目的とした「GraphQL脆弱性診断ガイドラインについて」を公開しました。
書籍「サイバーセキュリティ法務」(商事法務) (2021年2月)
【WG6】 株式会社商事法務様より出版された書籍「サイバーセキュリティ法務」 の監修や一部執筆をISOG-Jメンバーが行っております。
マネージドセキュリティサービス(MSS)選定ガイドライン Ver.2.0 (2020年7月)
【WG6】 セキュリティオペレーション連携WGは2010年度に公開された、セキュリティオペレーション事業者を利用する人向けの「マネージドセキュリティサービス(MSS)選定ガイドライン」を更新し、新たにVer.2.0を掲載します。
「ペネトレーションテストについて」 (2019年12月)
【WG1】ISOG-JとOWASP Japanの共同WGの脆弱性診断士スキルマッププロジェクトでは、「ペネトレーションテスト」の位置づけを明確にし、セキュリティテストを活用する組織が実施目的に合うサービスを選択できることを目的とした「ペネトレーションテストについて」というドキュメントを公開しました。
セキュリティ対応組織 (SOC,CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」 v2.0 (2019年4月)
【WG6】セキュリティに関連した情報共有については必要性は理解され、枠組みや情報共有の基盤は色々と存在しています。
一方で十分に活用されるまでにはまだ課題があると認識し、議論を重ねて課題提起として2017年に第1版を発表しました。初版では課題を整理して「5W1H」と情報を活用する箇所での整理を行いました。
第2版では実際のケースとフローを示すことで、より具体的にどの段階でどのような情報が共有されると活用ができるのか、を示すことを目的に改版をしております。まだまだ発展途上であるサイバーセキュリティ情報共有については、解決しなければならない課題も多いため、本書も継続して議論を進め、タイムリーに更新していく予定です。
セキュリティ対応組織の教科書 成熟度セルフチェックシート v2.2 (2019年2月)
【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 v2.1」と「セキュリティ対応組織成熟度セルフチェックシート」を公開し、活用を進めてきました。この度、成熟度セルフチェックシートに各組織での実施における補足説明を書き込めるようにし、公開しました。
Webシステム/Webアプリケーションセキュリティ要件書 Ver.3.0 (2019年1月)
【WG1】 ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」は、『Webシステム/Webアプリケーションセキュリティ要件書 Ver.3.0』を公開しました。
セキュリティ対応組織の教科書 ハンドブック v1.0 (2018年9月)
【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 v2.1」と「セキュリティ対応組織成熟度セルフチェックシート」を公開し、活用を進めてきました。この度、より理解を進めるために概要をつかみやすいハンドブックを作成し、公開しました。
Webアプリケーション脆弱性診断ガイドライン (2018年5月)
【WG1】 ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」において、OWASP Top 10 - 2017の「A4:XML外部エンティティ参照(XXE)」と「A8:安全でないデシリアライゼーション」に対応した「Webアプリケーション脆弱性診断ガイドライン」と「スキルマップ&シラバス」を公開しました。
セキュリティ対応組織の教科書 v2.1 (2018年3月)
【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 v1.0」の改版に向けて議論を続けてきました。その中でセキュリティ対応組織に求められる9の機能と、54の役割を、実際のインシデント発生時や平時におけるフローとしてまとめました。また「セキュリティ対応組織成熟度セルフチェックシート」として組織の成熟度をポイント化するツールと合わせて「セキュリティ対応組織の教科書 v2.0」を公開しました(2017年10月 v2.0)。
2018年3月に、「セキュリティ対応組織成熟度セルフチェックシート」のアウトソースに関する基準を見直したv2.1版に更新しております。
セキュリティ動静マップ2017年まとめ (2018年1月)
【グローバル動静共有PJ】グローバルの動静は営業活動のバイアスがかかっている情報が多く、かつ断片的であると課題認識を持つ。そのようなバランスの悪い断片的な情報から、より本質に近づいた情報を得たい。そこで、グローバルの動静情報を地図にマッピングし点と点をつなげ関係性を可視化することで、単体の情報からは見えない本質的なナニカを洗い出すレポートをプロジェクトで作成した。そこで今回その成果物を「セキュリティ動静マップ2017年まとめ」として公開する。
セキュリティ対応組織 (SOC,CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」 v1.0 (2017年10月)
【WG6】 SOCやCSIRTといったセキュリティ対応組織の設置が進む中、企業や業界を超えた情報共有の必要性が認識され、様々な情報共有の「場」が生まれています。
しかしながら、発信者が限られていたり、情報を受けた側も十分に活用できていなかったりと、課題は山積しています。
ISOG-JのWG6では情報共有についての課題について議論をし、そもそも情報共有とは何を目的としたもので、最終的にどのように活用されるべきなのかという基本に立ち返り、情報共有の基礎的な概念として「サイバーセキュリティ情報共有における5W1H」という形で整理しなおしました。
まだまだ発展途上であるサイバーセキュリティ情報共有については、解決しなければならない課題も多いため、本書も継続して議論を進め、タイムリーに更新していく予定です。
セキュリティ対応組織の教科書 v2.0 (2017年10月)
【WG6】 セキュリティオペレーション連携WGにおいて、「セキュリティ対応組織の教科書 v1.0」の改版に向けて議論を続けてきました。その中でセキュリティ対応組織に求められる9の機能と、54の役割を、実際のインシデント発生時や平時におけるフローとしてまとめました。また「セキュリティ対応組織成熟度セルフチェックシート」として組織の成熟度をポイント化するツールと合わせて「セキュリティ対応組織の教科書 v2.0」を公開しました。
Webアプリケーション脆弱性診断ガイドライン (2017年4月)
【WG1】 ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」において、最低限必要な診断項目や手順を定義することで一定レベルの手動診断による脆弱性診断を行うことができる「Webアプリケーション脆弱性診断ガイドライン」を公開しました。
セキュリティ対応組織の教科書 v1.0 (2016年11月)
【WG6】 セキュリティオペレーション連携WGにおいて、先日公開した「SOCの役割と人材のスキル v2.0」に向けて議論を続けてきました。この度内容が大きく変更となることから「セキュリティ対応組織の教科書 v1.0」として改めて公開いたします。今後も引き続き議論を続けて更新を行う予定です。
SOCの役割と人材のスキル v1.0 (2016年07月)
【WG6】 セキュリティオペレーション連携WGにおいて、セキュリティの運用を整理することでどのような役割や組織構成が必要か、またその役割においてどのようなスキルが必要かを議論し、第1.0版として共有しました。今後も議論を続けて更新を行う予定です。
脆弱性診断士(プラットフォーム)スキルマップ&シラバス」 (2016年04月)
特定非営利活動法人 日本ネットワークセキュリティ協会(会長 田中英彦、以下 JNSA)の日本セキュリティオペレーション事業者協議会(以下、ISOG-J)のセキュリティオペレーションガイドラインワーキンググループと、OWASP Japan (リーダー 岡田良太郎、上野宣)主催の共同ワーキンググループである 「脆弱性診断士(Webアプリケーション)スキルマッププロジェクト (代表 上野宣、以下 本WG)」では、脆弱性診断を行う個人の技術的な能力を具体的にするスキルマップと、学習の指針となるシラバスとなる「脆弱性診断士(プラットフォーム)スキルマップ&シラバス」を公開しました。
「やられたかな?その前に」ガイド (2015年10月)
「あさまでSOCプロジェクト」において、セキュリティ事業者への問い合わせや相談をスムーズに進めることを目的としたガイド、「やられたかな?その前に」ガイドを作成しました。
脆弱性診断士(Webアプリケーション)スキルマップ (2014年12月)
【WG1】 ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士(Webアプリケーション)スキルマッププロジェクト2014」において、脆弱性診断を行う個人の技術的な能力を具体的にすることを目的とした『脆弱性診断士(Webアプリケーション)スキルマップ』を作成しました。
WG2活動内容紹介 (2013年10月)
【WG2】 予め用意された課題ファイル (Web サーバやロードバランサ等のログ) に含まれる「なりすましログイン/リスト型攻撃」の痕跡を発見し、攻撃に関する様々な情報を突き止めるログ解析会を実施し、いかに効率的に痕跡を見つけていくかというノウハウについて議論・共有しました。
サイバー攻撃からビジネスを守る セキュリティ診断サービスガイド
【WG1】 セキュリティオペレーションガイドラインWGから、セキュリティ診断サービスを選定する際に役立つガイド、「サイバー攻撃からビジネスを守る セキュリティ診断サービスガイド」を出版しました。
情報セキュリティ小六法
【WG3】 セキュリティオペレーション関連法調査WGで2010年度に作成した「情報セキュリティ小六法」を掲載します。マネージドセキュリティサービスの提供にあたって影響を受ける可能性がある、あるいは、参考にすることができる法令について情報収集し、議論の経緯を踏まえて分類を行い、冊子としてまとめました。本WGでは、今後改訂中の法令含め、本書の拡充、具体的なユースケース等を引き続き整備していく予定です。各社での事業を行っていく上で関連する法規としてご参照ください。
■2012年6月
「情報セキュリティ小六法」を改訂しました。改訂の骨子は、ウイルス作成罪などを盛り込んだ刑法改正(2011年)、および、フィッシングサイトへの規制などを盛り込んだ不正アクセス禁止法改正(2012年)に追随したことです。
■2015年4月
「情報セキュリティ小六法」を改訂しました。サイバーセキュリティ基本法について、第2部冒頭に記述しました。
IPv6検証報告書
【WG2】 セキュリティ機器のIPv6機能の検証をISOG-J セキュリティオペレーション技術WGとJNSAの合同で行った検証報告書を掲載します。セキュリティ機器の機能確認だけではなく、セキュリティオペレーションに関係する見解も併せて記載しています。
マネージドセキュリティサービス選定ガイドライン
【WG1】 セキュリティオペレーションガイドラインWGで2009年度に作成した、セキュリティオペレーション事業者を利用する人向けの「マネージドセキュリティサービス選定ガイドライン」を掲載します。
MSSP事業者サービスマップ
【WG1】 セキュリティオペレーションガイドラインWGで2008年度に作成した、サービスマップを掲載します。セキュリティオペレーション事業者が展開するサービスの一覧となります。