- 本の紹介
- デジタル製品・サービスのサイバーセキュリティにつき平時・有事それぞれの組織的・法的対応(国内・海外)を詳説。代表的なインシデントへの対応例を技術と法的視点で解説。
目次
第1章 製品等へのセキュリティ対応の必要性,現状の課題認識
1⃣ 増え続けるサイバー攻撃等による被害
2⃣ 製品等へのセキュリティ侵害や不備がもたらす影響
3⃣ 製品等への攻撃やインシデントが増加する要因
1 外部要因について
2 内的要因について
3 アカウンタビリティの不足について
第2章 製品等のセキュリティ対応で押さえておくポイント・留意点
1⃣ 企業を守るセキュリティと製品・サービスを守るセキュリティの違い
2⃣ その他,対応のポイント
第3章 企業は製品セキュリティにどう対応している?
1⃣ 製品セキュリティへの取組みと課題
2⃣ 顧客・経営層・他部署・社内外での密なコミュニケーションが支えるサイボウズの製品セキュリティ対応
第4章 平時における備え
1⃣ PSIRT構築の進め方
1 PSIRTとは
2 PSIRT構築と運用
3 CSIRTとPSIRTの違い
4 PSIRTに必要となる組織的な特徴・機能
5 PSIRTの成熟度
6 サプライチェーンに潜むリスク
7 製品セキュリティに関わる法規制とSBOM
2⃣ セキュリティ規格への対応
1 ISMS(ISO/IEC 27001)
2 ISMSクラウドセキュリティ認証(ISO/IEC 27017)
3 プライバシーマーク
4 SOC2
5 セキュリティ規格に準拠するための人材と体制
3⃣ セキュアなソフトウェア/サービスの設計
1 基本的な目的・原則・考え方
2 脅威に対応する,脅威と情報システムのモデリング
3 脅威モデリングの最新の研究動向
4 リスクアセスメントとの関係
5 脅威モデリングのためのツール
4⃣ 自社製品・サービスに対する脆弱性診断
1 ソフトウェアの品質保証(QA)
2 設計・開発・検査のサイクルとセキュリティ確保
3 脆弱性を作り込まない設計・テクニック
4 開発段階・出荷前の検査
5 具体的な検査・テスト手法
6 リリース後に発覚する脆弱性の取扱い
7 脆弱性関連情報の届出制度
8 さいごに
5⃣ 法的対応(国内法令編)
1 国内法に基づく民事責任を踏まえた対応
2 国内の関連規制を踏まえた対応
6⃣ 法的対応(海外法令・民事責任編)
1 海外法令に基づく民事責任を踏まえた対応の重要性
2 米国
3 欧州(フランス)
4 EU製造物責任指令の改正
5 法務の観点から平時に行っておくべき対応
7⃣ 法的対応(海外法令・規制対応編)
1 海外の関連規制を踏まえた対応
2 EUサイバーレジリエンス法
3 UK PSTI法
4 U.S. Cyber Trust Markプログラムおよびその他の動向
5 米国におけるその他の動向
6 まとめ
第5章 有事対応
1⃣ 組織・技術対応
1 サービス提供用のプロダクション環境等におけるインシデントへの対応
2 社内インフラに対するサイバー攻撃と,サービスに対するサイバー攻撃の違い
3 販売製品において脆弱性が確認された場合の対応
4 有時対応に関係するステークホルダー
2⃣ 法的対応(基本的な考え方・国内法令編)
1 3つの観点からの検討
2 フェーズごとの法的対応
3⃣ 法的対応(海外法令編)
1 海外における有事対応の基本的な考え方
2 海外における有事対応において注意が必要となる視点
第6章 代表的な事案とその対応例
1 インシデントシナリオ
2 対応すべき事項の検討
3 再発防止策および追加対応の検討
