サイボウズのセキュリティ室
https://note.com/security_cybozu
サイボウズ株式会社のセキュリティ室です。セキュリティ文書や書籍の紹介・まとめ記事を公開することで、企業のセキュリティ対策が促進されることを期待します。
フィード
ISO27001:2022 対応日記 息抜き編
サイボウズのセキュリティ室
2024年10月11日、無事にISMSの移行審査が完了しました。年々 ISMS 審査は厳しくなっていっている気がしました。さまざまな指摘を受けましたが、なんとか完了をしています。移行できたかどうかは、審査機関の内部のレビューを得てからとなり、1カ月程度の時間がかかる見込みです。ISMS の担当者の気苦労も多くなってきており、審査後は息抜きを実施してきました。今年の店は、サイボウズ本社の近くにあるビアホール「伊勢角屋麦酒 八重洲店」にお邪魔しました。続きをみる
2ヶ月前
CSIRT活動における kintone 活用術
サイボウズのセキュリティ室
サイボウズでは、CSIRT活動を実施するうえで、自社製品 kintone を利用しています。どのように利用して CSIRT活動を実施しているのか紹介をします。今回の記事は、全面的に kintone の広告的な記事となっています。サイボウズの CSIRT は、会社のセキュリティを担当する CSIRT と、サイボウズ製品のセキュリティを担当する PSIRT で構成されています。CSIRT活動とは?続きをみる
3ヶ月前
海外向けに提供する「kintone」の SOC2 Type2 保証報告書を受領しました。
サイボウズのセキュリティ室
2024年8月8日 海外向けに提供する「kintone」のSOC2 Type2 保証報告書を受領しました。翌日公開したニュースリリースはこちらです。 サイボウズ、海外向けに提供する「kintone」の 内部統制を評価するSOC2 Type2保証報告書を受領 情報セキュリティに対する管理策が、一定期間継続的に整備および運用されていることを評価 | サイボウズ株式会社サイボウズ株式会社は当社が海外向けに提供する「kintone(キントーン)」において、内部統制を評価するSOC2 Typetopics.cybozu.co.jp 続きをみる
4ヶ月前
移行審査に向けた ISMS教育の実施
サイボウズのセキュリティ室
ISO/IEC 27001:2022 では、7.2 力量 において、教育,訓練などに基づいた力量を備えていることを確実にする必要があり、文書化した情報の保持が求められています。サイボウズでは、毎年 ISMSを適用している業務に従事している方に、ISMSに関連する教育を実施し、確認テストと記録を残しています。続きをみる
4ヶ月前
ISO27001:2022 対応日記 ドキュメントの修正編
サイボウズのセキュリティ室
ISMS・ISMAPの作業に追われていて記事を作成する時間がなかなか取れませんでした。移行審査に向けた作業は順調に進んでいます。前回の記事では、移行計画の承認についてお伝えしました。続きをみる
8ヶ月前
ISO27001:2022 対応日記 審査編
サイボウズのセキュリティ室
前回の記事では、ISMSが新規格となり、移行審査が必要であり、移行審査の前にISMS関連ドキュメントを新規格に対応させる必要があることを書きました。続きをみる
1年前
フィッシング対策協議会に加盟しました。
サイボウズのセキュリティ室
2023年6月、フィッシング対策協議会に加盟しました。フィッシング詐欺が横行しており、さまざまなブランドのフィッシングサイトが構築され、被害が出ている状況です。 フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2023/06 フィッシング報告状況フィッシング対策協議会は2005年4月に設立され、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚www.antiphishing.jp 続きをみる
1年前
ISO27001:2022 対応日記 序章
サイボウズのセキュリティ室
2022 年の改定ISO27001(ISMS)の規格が2022年に改訂されました。管理策が統合されたり、新たな管理策も追加されています。サイボウズでも ISMS の認証を取得しており、2022年版への移行が必要です。移行期間は 2022年10月31日から 3年以内とされており、2025年10月31日までには、移行審査を完了している必要があります。続きをみる
1年前
「セキュリティ対応組織の教科書 第3.0版」の紹介
サイボウズのセキュリティ室
2023年2月、日本セキュリティオペレーション事業者協議会 (ISOG-J) より「セキュリティ対応組織の教科書 第3.0版」が公開されました。今回はこちらを紹介します。本書について続きをみる
1年前
書籍「小さな企業がすぐにできるセキュリティ入門」の紹介
サイボウズのセキュリティ室
近年、どのような会社でもセキュリティ対策が求められるようになってきました。背景として、どの業界でもパソコンやスマホを利用した業務が存在し、ITの活用なしに事業を進めることが困難になっていることが挙げられます。しかし、小さな企業は、かけられる手間も少なく、大きなセキュリティ投資がしくにい事情もあると思います。本書 では、お金をかけずにできる対策、手間をかけずにできる対策という観点で小さな企業でも、実施すべきセキュリティ対策を難しい専門用語を使わずに解説されています。お金、手間を最小限の投資にしつつ、一定のセキュリティ対策を実施するには、よい書籍だと思いますので紹介いたします。続きをみる
1年前
中小企業の情報セキュリティ対策ガイドラインの紹介
サイボウズのセキュリティ室
4月26日に IPA より「中小企業の情報セキュリティ対策ガイドライン 第3.1版」が公開されました。小規模の事業者様でも、攻撃を受けるケースが多発しています。また、取引先からセキュリティ対策を求められるケースも増えてきているのではないでしょうか?しかし、セキュリティ対策といっても、何から手を付けていいのかわからない経営者の方、セキュリティ対策を指示された方も多いと思います。IPA さんの「中小企業のセキュリティ対策ガイドライン 第3.1版」を読んで、対策を進めていくことをお勧めします。続きをみる
2年前
CSIRTの構築・運用を解説した書籍 "CSIRT" を紹介
サイボウズのセキュリティ室
今回は書籍 "CSIRT" (以下 CSIRT本)を紹介します。発行が2016年11月となっており、内容が古い部分もありますが、構築・運用方法の原則的な部分は変わりません。CSIRT の最新の情報を得られる日本シーサート協議会(以下 NCA)の紹介もさせていただきます。CSIRTとは?続きをみる
2年前
kintoneユーザー必読!kintoneガバナンスガイドラインのポイント
サイボウズのセキュリティ室
kintone は開発なしにアプリを作成できるノーコード・ ローコード開発ツールで 「 現場が主体となってアプリを作成できる 」 という特徴があります 。 kintone の柔軟性ゆえ、統制をとることが難しくなり、機密性の高い情報が広く閲覧できる設定になっていた、業務で大切なアプリが突然削除されてしまった、などの事故が発生してしまう可能性があります。kintone の柔軟性を生かしつつ、統制を利かせるため kintone 利用におけるガバナンス文書を作成し、運用することが求められますが、どのように作成すればよいか、文書に何を記載すべきか悩ましいと思います。続きをみる
2年前
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル3)
サイボウズのセキュリティ室
前回の紹介記事では、PSIRT のプロセスを一通り経験し、経験値を蓄える段階(レベル2)について書きました。今回は、PSIRT のプロセスを何度も実施している PSIRT がエリートになるためのレベル3を紹介します。レベル3の PSIRT がいる組織では、製品の脆弱性の発見、分析し、対策版のリリースなどのプロセスを開発者を含めた内部のステークホルダ全員が理解しており、PSIRT が誰で、何をしているか理解しており、製品の脆弱性に関する大きな問題に対処してきた経験があります。また、必要なツール、プロセス、人材が導入されており、受動的な活動にとどまらず、プロアクティブな活動ができている PSIRT のことです。このような PSIRT を目指すために、何をすべきでしょうか?続きをみる
2年前
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル2)
サイボウズのセキュリティ室
前回は、PSIRT をゼロから構築するレベル1を紹介しました。今回は、いくつか脆弱性に対応し、より高度なことが求められるようになった PSIRT レベル2について紹介します。運用基盤続きをみる
2年前
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル1)
サイボウズのセキュリティ室
前回紹介した PSIRT Services Framework は PSIRT がやるべきことを網羅的にまとめたドキュメントです。今回紹介する PSIRT Maturity Document (以下、Pマチュ)は、PSIRT をゼロから構築し、成熟させる手順をステップ バイ ステップで解説しています。日本語版 は、日本シーサート協議会と Software ISAC で翻訳し、FIRST 加盟チームがレビューしています。PSIRT として活動したことがなく、チームの立ち上げから、脆弱性に対応する経験を積むレベル1から、数々の脆弱性を対応した百戦錬磨のレベル3までを定義し、それぞれ何をすべきかが書かれています。PSIRT(レベル1)続きをみる
2年前
ビジネスメール詐欺(BEC)対策特設ページの紹介
サイボウズのセキュリティ室
ビジネスメール詐欺(以下、BEC)とは?会社など組織に向けてメールを偽装し、金銭を騙し取る手法です。IPAさんが公開している「セキュリティ10大脅威 2023 組織編」で7位にランクインしているものです。続きをみる
2年前
忘れてましたが、サイボウズのセキュリティ室の自己紹介
サイボウズのセキュリティ室
2月にセキュリティ月間を実施し、その一環として note 記事 を公開してきましたが、自己紹介をしていませんでした。今さらですが、自己紹介。おいたち続きをみる
2年前
サイボウズのセキュリティ月間が終了しました。
サイボウズのセキュリティ室
2月1日からサイボウズのセキュリティ月間を開始し、2月28日で終了しました。1年に一度セキュリティに関するイベントを開催することで、さまざまな脅威に関心を持っていただき、日々の業務に生かしてもらうため、去年から実施しています。セキュリティ月間 2023 でやったこと続きをみる
2年前
セキュリティ関連費用の可視化ツール「NAMBOK」を使ってみました
サイボウズのセキュリティ室
新しくセキュリティや情報システムを担当することになったひとり情報システム担当者やセキュリティ担当者(いわゆる、ひとり情シスと呼ばれる方々)で、「セキュリティの予算取りが上手くいかない」「そもそもどんな対策から始めればいいのか分からない」とお考えの方もたくさんおられると思います。ITシステムに詳しくない人もそうでない人も予算を策定するのは難しいため、高度な技術を要したり、専門のコンサルティングが必要になることが多々あります。続きをみる
2年前