#readingsecurityguideline 読書会 21回目をやりました。 https://academist-reading.connpass.com/event/239767/

「情報セキュリティサービス基準適合サービスリスト」を少し覗いてから、「第2部 実践編」「5 より強固にするための方策」「(5)技術的対策例と活用」「②コンテンツセキュリティ対策」まで読みました。 https://www.ipa.go.jp/security/it-service/service_list.html

「情報セキュリティサービス基準適合サービスリスト」は、自身ではなく第3者に評価されたサービス提供者が掲載されています。その評価の内容を見ようと思い、「情報セキュリティサービス基準」を少しだけ確認しました。ざっと見た感じ、個々の技術的なものを取り上げるというより、サービスの品質を維持・改善できる枠組みをちゃんと持っているか確認するような内容でした。 https://www.meti.go.jp/policy/netsecurity/shinsatouroku/zyouhoukizyun2.pdf

「情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示」も見たのですが、こちらは関連するドキュメントや資格、ツールなどが書かれていて、参考になりそうです。 OSSのWeb脆弱性診断ツールOWASP ZAPはちょっと試してみたい気持ちになりました。 https://www.meti.go.jp/policy/netsecurity/shinsatouroku/reiji.pdf

「技術的対策例と活用」のところで、インフラと技術的施策の図があったのですが、そこにあったIDSはネットワークに仕掛けられていましたが、ホストベースのものもあったりするので、あくまでも例として見たほうがよさそう、という話も出ました。

次回は2022/03/25で、「第2部 実践編」「5 より強固にするための方策」「(5)技術的対策例と活用」「③アクセス管理」から読みます。