サイボウズでは、CSIRT活動を実施するうえで、自社製品 kintone を利用しています。どのように利用して CSIRT活動を実施しているのか紹介をします。今回の記事は、全面的に kintone の広告的な記事となっています。サイボウズの CSIRT は、会社のセキュリティを担当する CSIRT と、サイボウズ製品のセキュリティを担当する PSIRT で構成されています。CSIRT活動とは？続きをみる

2024年8月8日 海外向けに提供する「kintone」のSOC2 Type2 保証報告書を受領しました。翌日公開したニュースリリースはこちらです。 サイボウズ、海外向けに提供する「kintone」の 内部統制を評価するSOC2 Type2保証報告書を受領 情報セキュリティに対する管理策が、一定期間継続的に整備および運用されていることを評価 | サイボウズ株式会社サイボウズ株式会社は当社が海外向けに提供する「kintone（キントーン）」において、内部統制を評価するSOC2 Typetopics.cybozu.co.jp 続きをみる

ISO/IEC 27001:2022 では、7.2 力量 において、教育，訓練などに基づいた力量を備えていることを確実にする必要があり、文書化した情報の保持が求められています。サイボウズでは、毎年 ISMSを適用している業務に従事している方に、ISMSに関連する教育を実施し、確認テストと記録を残しています。続きをみる

前回の記事では、ISMS リスクアセスメントの前半の作業内容についてお伝えしました。続きをみる

前回の記事では、ISMSドキュメントの修正についてお伝えしました。続きをみる

ISMS・ISMAPの作業に追われていて記事を作成する時間がなかなか取れませんでした。移行審査に向けた作業は順調に進んでいます。前回の記事では、移行計画の承認についてお伝えしました。続きをみる

前回の記事では、審査後のリフレッシュ方法についてお伝えしました。続きをみる

前回の記事では、審査の実際について記事を書きました。続きをみる

前回の記事では、ISMSが新規格となり、移行審査が必要であり、移行審査の前にISMS関連ドキュメントを新規格に対応させる必要があることを書きました。続きをみる

前回の記事では、ISMSが新規格となり、対応が必要であることを紹介しました。続きをみる

2023年6月、フィッシング対策協議会に加盟しました。フィッシング詐欺が横行しており、さまざまなブランドのフィッシングサイトが構築され、被害が出ている状況です。 フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2023/06 フィッシング報告状況フィッシング対策協議会は2005年4月に設立され、フィッシング詐欺に関する事例情報、資料、ニュースなどの収集・提供、注意喚www.antiphishing.jp 続きをみる

2022 年の改定ISO27001(ISMS)の規格が2022年に改訂されました。管理策が統合されたり、新たな管理策も追加されています。サイボウズでも ISMS の認証を取得しており、2022年版への移行が必要です。移行期間は 2022年10月31日から 3年以内とされており、2025年10月31日までには、移行審査を完了している必要があります。続きをみる

2023年2月、日本セキュリティオペレーション事業者協議会 (ISOG-J) より「セキュリティ対応組織の教科書 第3.0版」が公開されました。今回はこちらを紹介します。本書について続きをみる

近年、どのような会社でもセキュリティ対策が求められるようになってきました。背景として、どの業界でもパソコンやスマホを利用した業務が存在し、ITの活用なしに事業を進めることが困難になっていることが挙げられます。しかし、小さな企業は、かけられる手間も少なく、大きなセキュリティ投資がしくにい事情もあると思います。本書 では、お金をかけずにできる対策、手間をかけずにできる対策という観点で小さな企業でも、実施すべきセキュリティ対策を難しい専門用語を使わずに解説されています。お金、手間を最小限の投資にしつつ、一定のセキュリティ対策を実施するには、よい書籍だと思いますので紹介いたします。続きをみる

4月26日に IPA より「中小企業の情報セキュリティ対策ガイドライン 第3.1版」が公開されました。小規模の事業者様でも、攻撃を受けるケースが多発しています。また、取引先からセキュリティ対策を求められるケースも増えてきているのではないでしょうか？しかし、セキュリティ対策といっても、何から手を付けていいのかわからない経営者の方、セキュリティ対策を指示された方も多いと思います。IPA さんの「中小企業のセキュリティ対策ガイドライン 第3.1版」を読んで、対策を進めていくことをお勧めします。続きをみる

今回は書籍 "CSIRT" （以下 CSIRT本）を紹介します。発行が2016年11月となっており、内容が古い部分もありますが、構築・運用方法の原則的な部分は変わりません。CSIRT の最新の情報を得られる日本シーサート協議会（以下 NCA）の紹介もさせていただきます。CSIRTとは？続きをみる

kintone は開発なしにアプリを作成できるノーコード・ ローコード開発ツールで 「 現場が主体となってアプリを作成できる 」 という特徴があります 。 kintone の柔軟性ゆえ、統制をとることが難しくなり、機密性の高い情報が広く閲覧できる設定になっていた、業務で大切なアプリが突然削除されてしまった、などの事故が発生してしまう可能性があります。kintone の柔軟性を生かしつつ、統制を利かせるため kintone 利用におけるガバナンス文書を作成し、運用することが求められますが、どのように作成すればよいか、文書に何を記載すべきか悩ましいと思います。続きをみる

前回の紹介記事では、PSIRT のプロセスを一通り経験し、経験値を蓄える段階（レベル２）について書きました。今回は、PSIRT のプロセスを何度も実施している PSIRT がエリートになるためのレベル３を紹介します。レベル３の PSIRT がいる組織では、製品の脆弱性の発見、分析し、対策版のリリースなどのプロセスを開発者を含めた内部のステークホルダ全員が理解しており、PSIRT が誰で、何をしているか理解しており、製品の脆弱性に関する大きな問題に対処してきた経験があります。また、必要なツール、プロセス、人材が導入されており、受動的な活動にとどまらず、プロアクティブな活動ができている PSIRT のことです。このような PSIRT を目指すために、何をすべきでしょうか？続きをみる

前回は、PSIRT をゼロから構築するレベル１を紹介しました。今回は、いくつか脆弱性に対応し、より高度なことが求められるようになった PSIRT レベル２について紹介します。運用基盤続きをみる

前回紹介した PSIRT Services Framework は PSIRT がやるべきことを網羅的にまとめたドキュメントです。今回紹介する PSIRT Maturity Document （以下、Pマチュ）は、PSIRT をゼロから構築し、成熟させる手順をステップ バイ ステップで解説しています。日本語版 は、日本シーサート協議会と Software ISAC で翻訳し、FIRST 加盟チームがレビューしています。PSIRT として活動したことがなく、チームの立ち上げから、脆弱性に対応する経験を積むレベル１から、数々の脆弱性を対応した百戦錬磨のレベル３までを定義し、それぞれ何をすべきかが書かれています。PSIRT（レベル１）続きをみる

ビジネスメール詐欺（以下、BEC）とは？会社など組織に向けてメールを偽装し、金銭を騙し取る手法です。IPAさんが公開している「セキュリティ10大脅威 2023 組織編」で7位にランクインしているものです。続きをみる

2月にセキュリティ月間を実施し、その一環として note 記事 を公開してきましたが、自己紹介をしていませんでした。今さらですが、自己紹介。おいたち続きをみる

2月1日からサイボウズのセキュリティ月間を開始し、2月28日で終了しました。1年に一度セキュリティに関するイベントを開催することで、さまざまな脅威に関心を持っていただき、日々の業務に生かしてもらうため、去年から実施しています。セキュリティ月間 2023 でやったこと続きをみる

新しくセキュリティや情報システムを担当することになったひとり情報システム担当者やセキュリティ担当者（いわゆる、ひとり情シスと呼ばれる方々）で、「セキュリティの予算取りが上手くいかない」「そもそもどんな対策から始めればいいのか分からない」とお考えの方もたくさんおられると思います。ITシステムに詳しくない人もそうでない人も予算を策定するのは難しいため、高度な技術を要したり、専門のコンサルティングが必要になることが多々あります。続きをみる

会社のDX推進に必要なスキルを定義した「デジタルスキル標準」。前編では経営者を含む全員が身に着けるべき「リテラシー」について解説しました。リテラシー編はこちらです。後編では、DXを推進する人材が身に着けるべきスキルをまとめた「DX推進スキル標準」（以下、推進スキル編）を紹介します。続きをみる