「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開
2021年4月28日
一般社団法人コンピュータソフトウェア協会(CSAJ)
Software ISAC
一般社団法人コンピュータソフトウェア協会(略称「CSAJ」、東京都港区赤坂)Software ISACは、ソフトウェア開発を行う組織の管理者や責任者に向けて、ソフトウェアにおける課題と、ソフトウェア管理体制の構築方法を簡易的に示すとともに、組織規模にかかわらず、最低限取り組むべきソフトウェア管理の在り方についてまとめた「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開しました。
Software ISACでは、まずは昨今の脅威などを受けて今回のガイド(簡易版)を取りまとめましたが、今後、ガイドの詳細版を作成していく予定です。
情報技術の活用、革新により、時代は大きく変化しています。それを支えているのはソフトウェアであり、今後より一層影響は大きくなると思われます。言わば私たちはソフトウェアなしには生きていくことができない時代になっています。だからこそ、開発する人や組織、またそれに関係する利害関係者はその責任を理解した上で、「ゆりかごから墓場」まで考えていく必要があります。
また一人で脅威や脆弱性に立ち向かう時代ではなくなってきています。ISACをはじめとした横の連携と協力によって解決していく時代です。ソフトウェア管理体制と聞くとハードルが高く思うかもしれませんが、まずはこのガイドでソフトウェアを開発する組織が、一歩、また一歩と踏み出して頂けたのならうれしく思います。
ソフトウェア開発を行うステークホルダーで、この国を、そして世界を、支えていきましょう。
内容
1.はじめに
2.ソフトウェア管理体制の必要性
3.ソフトウェア管理体制の構築に向けて
(1)契約状況の把握
(2)プロジェクトの把握
(3)開発環境や開発に使うソフトウェア情報の把握
(4)関係者のスキルやリテラシーの把握
(5)管理体制のメンバーの決定と把握
(6)ステークホルダー(利害関係者)全体の把握
(7)ツールやシートを使った管理
4.ソフトウェア脆弱性の把握と管理
(1)脆弱性の発見
(2)脆弱性の判断と改善(発見、判断(トリアージ)、改善、開示)
(3)脆弱性の情報開示
5.普段からのトレーニングと教育
6.最後に
○「ソフトウェアの安全性を意識した管理体制(ver.1.0)」は、以下からダウンロードできます。
作成者一覧
明尾 洋一(株式会社サイボウズ)
襟川 芽衣(株式会社コーエーテクモホールディングス)
大三川 彰彦(トレンドマイクロ株式会社)
垣内 由梨香(マイクロソフト株式会社)
加藤 智巳(株式会社ラック)
萩原 健太(グローバルセキュリティエキスパート株式会社/インターバルリンク株式会社)
板東 直樹(アップデートテクノロジー株式会社)
丸山 満彦(PwCコンサルティング合同会社)
※氏名五十音順
○一般社団法人コンピュータソフトウェア協会(略称「CSAJ」)とは
自社で市場ニーズを分析し、企画、開発、商品化した既製ソフトウェア(企画開発型ソフトウェア)を販売、あるいはそれを利用したサービスを提供している企業を中心とした業界団体です。われわれCSAJは、「シンクタンク化」、「グローバル化」、「ビジネスチャンス拡大」の3つの方針を掲げ、イノベーションとIT化の促進を通じて我が国経済の発展と国民生活の向上に寄与しています。
○Software ISACとは
IoTデバイスの普及に伴い、サイバー空間の脅威は非常に高まっています。また、OSS の活用が進む上で、脆弱性ハンドリングはますます難しくなっています。開発者は安全で安心なソフトウェアの提供をするために、脅威の手法や脆弱性情報を素早く入手する必要があります。そこで、セキュア開発や脆弱性管理の工数最適化や、ソフトウェアサプライチェーンの強靭化の研究を行い、安心・安全な日本への貢献を行う開発者のための情報交換基盤を提供することを目的に、CSAJ内の組織として発足しました。
以下、Software ISAC公式Websiteでは、組織概要の詳細や規則についてもご覧いただけます。
お問い合わせ先
一般社団法人コンピュータソフトウェア協会(CSAJ)
事務局 担当:戸島、中野 E-mail:gyoumu1@csaj.jp TEL:03-3560-8440
〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル4F URL:https://www.csaj.jp/