02.

システム開発と運用のリスクを
コントロールする

適切な基準によるスコアリングと具体的アクションの把握により、
セキュリティのビルトイン開発をスムーズに進める

• 

  現状の把握・数値化、リスクの可視化

  規模や業務が様々なプロジェクト活動におけるセキュリティ関連の活動や、リスクコントロール対策の現状を把握・数値化し、スコアリングすることこそが、セキュリティのビルトイン開発の第一歩です。データによる証拠に基づいた改善サイクルを実現するために、基礎資料となるスコアリングは必須。組織全体における実現可能なリスクコントロールを明確化することから始めましょう。

• 

  OWASP SAMM を用いた、ソフトウェア開発・運用体制のスコアリング

  ソフトウェア開発におけるリスクの可視化、セキュリティ活動の妥当性や効果の評価、及びセキュリティ姿勢強化ロードマップの策定に効果的な業界標準のフレームワーク / ベンチマークとなるのは、OWASP SAMM ソフトウェアセキュリティ保証成熟度モデル。
  これはOWASPコミュニティで開発された「開発・運用体制をスコアリングする」フレームワークとして、業種、技術、体制、組織や開発プロジェクトの特性に関わりなく柔軟に活用できます。
  多様な開発プロジェクトを持つ組織全体での統一性の確保につながるセキュリティ・ガバナンス・ツールとして、継続的に利用することができます。
  これを経験あるリサーチャが調査・分析・レポーティングすることで有効に利用することができます。

• 

  PCI DSS遵守のためのソリューション

  クレジットカードを巡るセキュリティ対策は必要不可欠な上、刻々とその審査基準の難度が上がっています。
  2016年11月以降のPCIDSS認定の審査基準はv3.2ベースとなりました。この基準では、暗号化方式の基準の改定(TLS1.0の廃止)、カードデータアクセスコントロールに多要素認証が必須となるなどのメカニズムの改善が必要となるほか、セキュアなコードの開発とメンテナンス、またそのための年次の教育が必須要件として強調されています。
  セキュアなシステムと、プログラムコードの開発作業には、Off-JT(セミナーやトレーニング)とOJT(業務とともに学ぶ方式)の両方が不可欠です。
  弊社は、高品質な教育・開発支援ソリューションにより、安価に効果的にスピーディーに実現します。