#readingsecurityguideline 読書会 14回目をやりました。 https://academist-reading.connpass.com/event/239767/

「中小企業の情報セキュリティ対策ガイドライン」「第2部 実践編」「5 より強固にするための方策」「(2)ウェブサイトの情報セキュリティ」から「(3)クラウドサービスの情報セキュリティ」「①クラウドサービスの選定」まで読みました。

「ウェブサイト運営形態の検討」のところで…レンタルサーバーは自社ドメインで作れる「さくらのサーバー」あたりでしょうか。クラウドサービス(PaaS)だとHerokuとかAWS ElasticBeanstalkあたりでしょうか。モール型だと楽天市場、ASPだとBASEあたりのようです。

「ウェブサイトの構築」のところで…IPAの「安全なウェブサイトの作り方」が紹介されていました。最近はフレームワークを使って開発することが多いので、普通にしていればこの資料に書かれたものは対策が済んでいるものが多いです。(逆にフレームワークの機能から逸脱するようなコードを書いて、脆弱性を入れてしまうようなこともあるので注意したいです。) https://www.ipa.go.jp/security/vuln/websecurity.html

「クラウドサービスの選定」のところでいろいろなタイプが紹介されていますが…SaaSはSmart HR、Money Forwardなど、PaaSはAWS Elastic Beanstalk、Herokuなど、IaaSはAWS EC2など…。 言葉がいっぱい出てきましたが、自分もあってるのかどうか自信がイマイチです…。とはいえ、それぞれの特徴を知り、守り方を考えられるようにしておこうと思います。

次回は2022/03/15で、中小企業の情報セキュリティ対策ガイドライン」「第2部 実践編」「5 より強固にするための方策」「(3)クラウドサービスの情報セキュリティ」「①クラウドサービスの運用」からです。