最近の記事
- 固定された記事
- 固定された記事
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル3)
前回の紹介記事では、PSIRT のプロセスを一通り経験し、経験値を蓄える段階(レベル2)について書きました。今回は、PSIRT のプロセスを何度も実施している PSIRT がエリートになるためのレベル3を紹介します。 レベル3の PSIRT がいる組織では、製品の脆弱性の発見、分析し、対策版のリリースなどのプロセスを開発者を含めた内部のステークホルダ全員が理解しており、PSIRT が誰で、何をしているか理解しており、製品の脆弱性に関する大きな問題に対処してきた経験があります
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル2)
前回は、PSIRT をゼロから構築するレベル1を紹介しました。今回は、いくつか脆弱性に対応し、より高度なことが求められるようになった PSIRT レベル2について紹介します。 運用基盤経営からの信頼を得ること、PSIRT の権利を記述した憲章を確立し、ポリシー、基準、ガイドラインを定めましょう。また、予算を確保し、スタッフを揃え、必要なツールを調達しましょう。 ステークホルダ マネジメント製品の脆弱性を発見した場合、誰が何をすべきか、社内の関係者がプロセスと役割を理解して
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル1)
前回紹介した PSIRT Services Framework は PSIRT がやるべきことを網羅的にまとめたドキュメントです。今回紹介する PSIRT Maturity Document (以下、Pマチュ)は、PSIRT をゼロから構築し、成熟させる手順をステップ バイ ステップで解説しています。日本語版 は、日本シーサート協議会と Software ISAC で翻訳し、FIRST 加盟チームがレビューしています。 PSIRT として活動したことがなく、チームの立ち上げか