★☆★JNSAメールマガジン 第264号 2023.6.9☆★☆
2023/06/09 (Fri) 15:30
★☆★JNSAメールマガジン 第264号 2023.6.9☆★☆
こんにちは
JNSAメールマガジン 第264号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
ISOG-J WG1 セキュリティオペレーションガイドラインWG
リーダー 上野 宣 様にご寄稿いただきました。
【連載リレーコラム】
アジャイル開発におけるセキュリティ | パターン・ランゲージ
ISOG-J WG1 セキュリティオペレーションガイドラインWG
リーダー 上野 宣 (株式会社トライコーダ)
『アジャイル開発におけるセキュリティ | パターン・ランゲージ』は、
「アジャイル開発においてセキュリティをどのように担保するか」のヒントを
過去の成功事例などを基にパターン・ランゲージという形式で解説したものです。
2022年7月に公開しています。
https://github.com/OWASP/www-chapter-japan/blob/master/skillmap_project/Security%20in%20Agile%20Software%20Development.md
ウォーターフォール開発においては、要件定義のフェーズではセキュリティ
要件があり、それに沿ったセキュアな設計や実装が行われ、脆弱性診断を
行ってからリリースされます。
しかし、アジャイル開発ではそれらのフェーズが明確でないこともあり、
セキュリティを如何に担保するかということが疎かになることもあります。
本ドキュメントを活用して頂くことで、アジャイル開発のどの段階でどういった
取り組みをすることでセキュリティを担保できるかといったヒントを得ること
ができます。
本ドキュメントでは次の項目について解説しています。
## チームビルディング
1. セキュリティ・チャンピオンの役割定義と任命
2. 各自がセキュリティに責任を持ったチームビルディング
3. セキュリティ向上のためのルール整備
4. セキュリティスキル底上げのための開発者向けトレーニング
## 開発計画・プロジェクト計画
5. スプリント成果物に必要なセキュリティ要件の決定
6. リスクに応じた脆弱性対応方針の策定
7. 脆弱性トリアージ
## セキュリティテスト
8. セキュリティテストの実施タイミングと方針検討
9. スプリント内で実施するテスト内容の策定
10. 利用環境の脆弱性管理
11. セキュリティテストの自動化
## セキュリティ品質向上
12. セキュリティの継続的向上のためのふりかえり
それぞれの項目についてパターン・ランゲージを使い、項目の「概要」として
「どういったことを目的とするものか」、「状況」では「どういった組織や
チームが参考にすべきものか」、そこで起こる「解決したい問題」、それに
対する「解決策」を提示しています。
アジャイル開発では開発やリリースの速度が優先されて、セキュリティが疎か
になってしまうこともあります。
本ドキュメントを活用して頂くことで、アジャイル開発の良さを崩さず、
セキュリティも担保される開発が行われることを願っています。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
※googleアンケートフォームを利用しています。
https://tinyurl.com/5xfrrhyk
【部会・WGからのお知らせ】
★標準化部会 JNSAデジタルアイデンティティWG
「???とアイデンティティ|第6回「CISOとアイデンティティ」
YouTube JNSAチャンネルにて講演動画公開いたしました。是非ご覧ください。
https://www.youtube.com/watch?v=1Z7JbcKMT4Y
【事務局からのお知らせ】
★6月7日開催JNSAセミナー「2023年度活動報告会」講演資料を公開しました。
https://www.jnsa.org/seminar/2023/active/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/te0lework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第264号
発信日:2023年6月9日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第264号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
ISOG-J WG1 セキュリティオペレーションガイドラインWG
リーダー 上野 宣 様にご寄稿いただきました。
【連載リレーコラム】
アジャイル開発におけるセキュリティ | パターン・ランゲージ
ISOG-J WG1 セキュリティオペレーションガイドラインWG
リーダー 上野 宣 (株式会社トライコーダ)
『アジャイル開発におけるセキュリティ | パターン・ランゲージ』は、
「アジャイル開発においてセキュリティをどのように担保するか」のヒントを
過去の成功事例などを基にパターン・ランゲージという形式で解説したものです。
2022年7月に公開しています。
https://github.com/OWASP/www-chapter-japan/blob/master/skillmap_project/Security%20in%20Agile%20Software%20Development.md
ウォーターフォール開発においては、要件定義のフェーズではセキュリティ
要件があり、それに沿ったセキュアな設計や実装が行われ、脆弱性診断を
行ってからリリースされます。
しかし、アジャイル開発ではそれらのフェーズが明確でないこともあり、
セキュリティを如何に担保するかということが疎かになることもあります。
本ドキュメントを活用して頂くことで、アジャイル開発のどの段階でどういった
取り組みをすることでセキュリティを担保できるかといったヒントを得ること
ができます。
本ドキュメントでは次の項目について解説しています。
## チームビルディング
1. セキュリティ・チャンピオンの役割定義と任命
2. 各自がセキュリティに責任を持ったチームビルディング
3. セキュリティ向上のためのルール整備
4. セキュリティスキル底上げのための開発者向けトレーニング
## 開発計画・プロジェクト計画
5. スプリント成果物に必要なセキュリティ要件の決定
6. リスクに応じた脆弱性対応方針の策定
7. 脆弱性トリアージ
## セキュリティテスト
8. セキュリティテストの実施タイミングと方針検討
9. スプリント内で実施するテスト内容の策定
10. 利用環境の脆弱性管理
11. セキュリティテストの自動化
## セキュリティ品質向上
12. セキュリティの継続的向上のためのふりかえり
それぞれの項目についてパターン・ランゲージを使い、項目の「概要」として
「どういったことを目的とするものか」、「状況」では「どういった組織や
チームが参考にすべきものか」、そこで起こる「解決したい問題」、それに
対する「解決策」を提示しています。
アジャイル開発では開発やリリースの速度が優先されて、セキュリティが疎か
になってしまうこともあります。
本ドキュメントを活用して頂くことで、アジャイル開発の良さを崩さず、
セキュリティも担保される開発が行われることを願っています。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
※googleアンケートフォームを利用しています。
https://tinyurl.com/5xfrrhyk
【部会・WGからのお知らせ】
★標準化部会 JNSAデジタルアイデンティティWG
「???とアイデンティティ|第6回「CISOとアイデンティティ」
YouTube JNSAチャンネルにて講演動画公開いたしました。是非ご覧ください。
https://www.youtube.com/watch?v=1Z7JbcKMT4Y
【事務局からのお知らせ】
★6月7日開催JNSAセミナー「2023年度活動報告会」講演資料を公開しました。
https://www.jnsa.org/seminar/2023/active/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/te0lework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第264号
発信日:2023年6月9日
発 行:JNSA事務局 sec@jnsa.org
*************************************