WG月次活動報告アーカイブス

過去のWG月例活動報告は、こちらにアーカイブします。

2023年7月活動状況

  • CCM WG:
    •  ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
    • Auditor Guidanceの翻訳を実施中。
    • 今後、CCM Lite V4のリリースに合わせて翻訳を検討する。
  • SDP WG:
    • 次を検討中。
  • 翻訳WG:
    • DevSecOpsの2個のドキュメントの翻訳を仕掛中。
  • IoT WG:
    • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3~4月公開予定。
    • DevSecOps解説セミナー: 当面無理。
    • DevSecOpsの翻訳:Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
    • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
  • CASB WG:
    • 活動としてはひと段落しているため、現在、以下の内容についてメンバーで検討中となります。
      • WG名の変更(WG名と活動内容が少しずれてきているため)→SaaS Security WGに名称を変更したい
      • SaaSの利用状況に関する事例の収集(アンケートなど)
      • SaaS運用における脅威分析の実施
      • CASB AUTO WGとの連携
      • (あれば)SaaS関連資料の翻訳
  • プライバシWG:
    • 7/25にCoC Ver1.2の編集会議を実施予定で執筆方針と分担を決める予定。
  • 健康医療情報管理 WG:
    • 7月実績
      • ブログ「ゲノムデータのサイバーセキュリティとアクセス制御(後編)」 (7/2)
      • ワークショップ(対面@京都) (7/5)
        「ゲノムデータのサイバーセキュリティとアクセス制御」
      • ワークショップ(オンライン) (7/25)
        「ゲノムデータのサイバーセキュリティとアクセス制御」
    • 8月予定
      • ブログ「ロボット支援手術(RAS)システムの脅威モデリング」(8/上旬)
  • DevSecOps/サーバーレスWG:
    • 「NIST 800-53 controls implementation to Serverless FaaS」の公開ピアレビュー終了(7/12) –> 公開に向けた最終作業中(近日中公開)
    • 「サーバレスアプリケーションのための最も重大な12のリスク」の改訂版作成作業を開始予定
    • 「The Six Pillars of DevSecOps」シリーズのドキュメント
      • DevSecOps – Pillar 2 – Collaboration and Integration(ドラフト作成中)
      • DevSecOps – Pillar 6 – Measure, Monitor, Report & Action(ドラフト作成中)
    • 「Privacy by Design」策定に向けたWG横断的なオンラインワークショプ(7/27)
    • CSA DevSecOps WGとNISTとの連携活動:
      • オープンソースソフトウェア(OSS)セキュリティ+ DevSecOps
  • クラウドセキュリティ自動化WG:
    • TrendMicroさんが、CAIQ日本語評価レポートを公開!(7/14)
      あと、SalesForceさん、タレスさん、Servicenow、Fileforceは状況待ち。TrendMicroさんのを事例として展開を開始する予定。
    • ブログ内容のレビューを実施中。

2023年6月活動状況

  • CCM WG:
    •  ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
    • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの公開済。この後、Auditor Guidanceの翻訳を行う。
    • 今後、CCM Lite V4のリリースに合わせて翻訳を検討する。
  • SDP WG:
    • Medical Devices in A Zero Trust Architectureの翻訳公開済み。
    • 次を検討中。
  • 翻訳WG:
    • DevSecOpsの2個のドキュメントの翻訳を仕掛中。
  • IoT WG:
    • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3~4月公開予定。
    • DevSecOps解説セミナー: 当面無理。
    • DevSecOpsの翻訳:Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
    • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
  • CASB WG:
    • 活動としてはひと段落しているため、現在、以下の内容についてメンバーで検討中となります。
      • WG名称の変更案(SaaS Governanceに合わせるか)
      • 今後の活動予定策定(SaaSセキュリティに関連した情報の収集、啓蒙など)
  • プライバシWG:
    • 新しい個人情報の条番号に合わせたCoCJP1.2は6月の定例から開始した。Appendixとして、GDPRの罰金事例、米国のプライバシー法案の動向を含める予定。
    • それに向けて新しいメンバー募集を実施。4~5名が新たに参加。
  • 健康医療情報管理 WG:
    • 7月予定
      • ブログ「ゲノムデータのサイバーセキュリティとアクセス制御(後編)」 (7/上旬)
      • ワークショップ(対面@京都) (7/5)
        「ゲノムデータのサイバーセキュリティとアクセス制御」
      • ワークショップ(オンライン) (7/25)
        「ゲノムデータのサイバーセキュリティとアクセス制御」
  • DevSecOps/サーバーレスWG:
    • 「NIST 800-53 controls implementation to Serverless FaaS」の内部策定作業完了。公開ピアレビューのステージへ移行。
    • 「Privacy by Design」策定に向けたWG横断的なオンラインワークショプを企画中
    • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳を翻訳WGで作業中。
  • クラウドセキュリティ自動化WG:
    • 日本語CAIQ評価レポートのSTAR Registryへの公開に向けてのアプローチ。
      TrendMicroさんが、CAIQ日本語評価レポートを公開!
      あと、SalesForceさん、タレスさんは状況待ち。TrendMicroさんのを事例として展開を開始する予定。
    • ブログ内容のレビューを実施中。

2023年5月活動状況

  • CCM WG:
    • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
    • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳レビュー中。この後、Auditor Guidanceの翻訳予定。
    • 今後、CCM Lite V4のリリースに合わせて翻訳を検討する。
  • SDP WG:
    • Medical Devices in A Zero Trust Architectureの翻訳レビュー開始。。
  • 翻訳WG:
    • DevSecOpsの2個のドキュメントの翻訳を仕掛中。
  • IoT WG:
    • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3~4月公開予定。
    • DevSecOps解説セミナー: 当面無理。
    • DevSecOpsの翻訳:Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
    • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
  • CASB WG:
    • 「クラウド利用者のためのSaaSガバナンスのベストプラクティス V1.1」公開。
    • Summitでの講演終了。
    • 今後の活動について、6月の会議で検討する。
  • プライバシWG:
    • 新しい個人情報の条番号に合わせたCoCJP1.2は6月の定例から開始する。Appendixとして、GDPRの罰金事例、米国のプライバシー法案の動向を含める予定。
    • それに向けて新しいメンバー募集する方向で検討。
  • 健康医療情報管理 WG:
    • 勉強会:5/22にミートアップを実施
    • 日本総研でエストニアを招いてセミナー(オンライン)を行う。CSA関西がこれをサポートする。テーマはE-health。
    • 6月ブログ予定。「ゲノムデータのサイバーセキュリティとアクセス制御」。同じテーマで7月に勉強会予定。
  • DevSecOps/サーバーレスWG:
    • グローバルで、サーバレスとNIST SP800-53とのマトリックス作成中。
    • 新たなサブグループ、プライバシーバイデザインが、来年のRSA conference(4月)にドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
    • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
    • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳を翻訳WGで作業中。
  • クラウドセキュリティ自動化WG:
    • 日本語CAIQ評価レポートのSTAR Registryへの公開に向けてのアプローチ。
      数社が作業中。
    • ブログ内容のレビューを実施中。

2023年4月活動状況

  • CCM WG:
    • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
    • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳レビュー中。この後、Auditor Guidanceの翻訳予定。
  • SDP WG:
    • 追加資料の翻訳を検討中。
  • 翻訳WG:
    • 「DevSecOpsの6つの柱:自動化」公開。
    • 後2つを翻訳検討中。
  • IoT WG:
    • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3~4月公開予定。
    • DevSecOps解説セミナー: 当面無理。
    • DevSecOpsの翻訳:Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
    • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
  • CASB WG:
    • SaaS Governance Best Practiceの翻訳資料を再レビュー。レビューはほぼ完了し、既存資料を更新予定
    • Summitで本内容についてを発表するため、参加者で発表用資料のレビューを実施
  • プライバシWG:
    • 新しい個人情報の条番号に合わせたCoCJP1.2は6月から検討開始予定。
    • それに向けて新しいメンバー募集する方向で検討中。
  • 健康医療情報管理 WG:
    • 4/20 勉強会実施 SDGs達成に向けたデジタルヘルスを支えるクラウドネイティブセキュリティ (ファーマIT&デジタルヘルスエキスポ2023)
    • 4/23 ブログ公開 医療におけるITガバナンス・リスク・コンプライアンス(IT-GRC)(後編)
  • DevSecOps/サーバーレスWG:
    • グローバルで、サーバレスとNIST SP800-53とのマトリックス作成中。
    • 新たなサブグループ、プライバシーバイデザインが、来年のRSA conference(4月)にドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
    • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
    • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳を翻訳WGで開始する予定。
  • クラウドセキュリティ自動化WG:
    • 「クラウドネイティブにおける新しい責任共有モデルとセキュリティの考え方」ブログを公開 (3/29)
    • ブログ内容のレビューを継続中。

2023年3月活動状況

  • CCM WG:
    • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
    • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳レビュー中。この後、Auditor Guidanceの翻訳予定。
  • SDP WG:
    • 追加資料の翻訳を検討中。
  • 翻訳WG:
    • CSA_The-Six-Pillars-of-DevSecOps-Automation-SafeCode の翻訳作業中。最終レビュー中。週明けリリース予定。
    • 後2つを翻訳検討中。
    • Guidance v4 和訳見直し、いったん中止。
  • IoT WG:
    • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3~4月公開予定。
    • DevSecOps解説セミナー: 当面無理。
    • DevSecOpsの翻訳:Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
    • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
  • CASB WG:
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
    • 翻訳資料のサマリ版資料の作成(SaaS Governance Best Practices for Cloud Customers)。Congressで発表した資料をベースに要点をまとめたサマリ版の資料の完成を目指す。その資料作成し公開することを計画。時期は4月~5月ごろを想定。
    • Summitでの講演内容の検討中。
  • プライバシWG:
    • 2月から3か月間は意見を持ち寄る会議を行う。
    • 統合版(V1.2)の執筆は6月開始を予定。
    • 5月ころ新会員の募集を予定。
  • 健康医療情報管理 WG:
    • ワークショップが4月20日予定。ファーマIT EXPOで対面。
    • ZeroTrust Architecture in Healthcare 公開待ち。
    • 4/19~21 東京ビッグサイト ファーマITの出展ブースあり。
  • DevSecOps/サーバーレスWG:
    • グローバルで、サーバレスとNIST SP800-53とのマトリックス作成中。
    • 新たなサブグループ、プライバシーバイデザインが、来年のRSA conference(4月)にドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
    • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
    • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳も要検討。
  • クラウドセキュリティ自動化WG:
    • 「クラウドネイティブにおける新しい責任共有モデルとセキュリティの考え方」ブログを公開 (3/29)
    • 次回会議から、ブログ内容のレビューを開始する予定。

2023年2月活動状況

  • CCM WG:
    • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
    • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳中(60%くらい完了)。この後、Auditor Guidanceの翻訳予定。
  • SDP WG:
    • 「ゼロトラスト リソースハブ」を公開
    • 追加資料の翻訳を検討中。
  • 翻訳WG:
    • The Six Pillars of DevSecOps: Automation 翻訳作業を継続中
    • 翻訳のやり方を変更する。翻訳版をある程度構成したものをレビューするという形で進める。
    • Guidance v4 和訳見直し。いったん中止、再検討する。
  • IoT WG:
    • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3~4月公開予定。
    • DevSecOps解説セミナー: 当面無理。
    • DevSecOpsの翻訳:Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
    • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
  • CASB WG:
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
    • 翻訳資料のサマリ版資料の作成(SaaS Governance Best Practices for Cloud Customers)。Congressで発表した資料をベースに要点をまとめたサマリ版の資料の完成を目指す。その資料作成し公開することを計画。時期は4月~5月ごろを想定。
    • Summitでの講演内容の検討中。
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1。リリース済。追補版なので、前のものと両方を公開する。
    • 2月から3か月間は意見を持ち寄る会議を行う。
    • 統合版の執筆は5月から6月開始を予定。
  • 健康医療情報管理 WG:
    • 遠隔支援ロボットのサイバーセキュリティ。公開。.
    • ユースケースとして日本も入れた(川崎重工)けど、問題ありあり。
    • ZeroTrust Architecture in HealthcareのPeer Review中。
    • 4/19~21 東京ビッグサイト ファーマITの出展ブースあり。
  • DevSecOps/サーバーレスWG:
    • クラウドネイティブアーキテクチャとIoTセキュリティバイデザインの勉強会を実施済(2/17)
    • グローバルで、サーバレスとNIST SP800-53とのマトリックスが3分の2くらい終了。
    • 新たなサブグループ、プライバシーバイデザインが、来年のRSA conference(4月)にドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
    • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
    • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳も要検討。
  • クラウドセキュリティ自動化WG:
    • 「「クラウドサービスのセキュリティ評価」はIT部門の重要ミッション!進め方と有用なツール」IT Leadersメディアから公開 (2/17)
    • 次回会議から、ブログ内容のレビューを開始する予定。

2023年1月 活動状況

  • CCM WG:
    • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
    • 名前をCCM WGに変更済。
    • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳中(50%くらい完了)。この後、Auditor Guidanceの翻訳予定。
    • ISMAPのチャネルを削除する。
  • SDP WG:
    • 休止していたが、Zero Trust Resource HubがCSA本部で公開されており、これの日本語サイトの作成等から再開したい。
  • 翻訳WG:
    • CSA_The-Six-Pillars-of-DevSecOps-Automation-SafeCode の翻訳作業中。
    • DevOpsに関する他の2つの資料の翻訳を検討中。
    • 翻訳のやり方を変更する。翻訳版をある程度構成したものをレビューするという形で進める。
    • Guidance v4 和訳見直し。いったん中止、再検討する。
  • IoT WG:
    • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3~4月公開予定。
    • DevSecOps解説セミナー: 当面無理。
    • DevSecOpsの翻訳:Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
    • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
  • CASB WG:
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
    • 翻訳資料のサマリ版資料の作成(SaaS Governance Best Practices for Cloud Customers)。Congressで発表した資料をベースに要点をまとめたサマリ版の資料の完成を目指す。その資料作成し公開することを計画。時期は4月~5月ごろを想定。
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1。執筆終わり。最終レビュー完。リリースする。追補版なので、前のものと両方を公開する。
    • 次に統合版の執筆に入る。
  • 健康医療情報管理 WG:
    • 1月18日(水)公開 ブログ「バイオ/医療データの相互運用性とプライバシーエンジニアリング技術」(前編)
    • 2月上旬公開予定 ブログ「バイオ/医療データの相互運用性とプライバシーエンジニアリング技術」(後編)
    • 2/13(月)開催予定 第10回CSA関西・健康医療WG公開ワークショップ「バイオ/医療データの相互運用性とプライバシーエンジニアリング技術」
  • DevSecOps/サーバーレスWG:
    • 1月11日(水)時点の「Privacy by Design」構成案確定
    • 1月12日(木)時点の「NIST controls implementation to FaaS」状況
  • クラウドセキュリティ自動化WG:
    • DevSecOpsの翻訳が完了した時点で、ブログ公開を予定。
    • 次回会議から、ブログ内容のレビューを開始する予定。

2022年12月活動状況

  • CCM WG:
    • CCM/STAR WGは、名称をCCM WGに変更しました。
    • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
    • WGの名前を名前をCCM WGに変更する。
    • CCM/STAR推進サブWG : 休止中
      • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
  • SDP WG:
    • 活動休止中
  • 翻訳WG:
    • CSA_six-pillars-of-devsecops, CSA_The-Six-Pillars-of-DevSecOps-Automation-SafeCode の翻訳を検討中。
    • 合わせて、The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳も検討要。
    • Security Guidance v4見直し:作業中(停滞中)
  • IoT WG:
    • IoT Control Matrix V2に続いてV3を輪講形式でWG内で勉強会。次回会議で実施。
  • クラウドセキュリティWG
    • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
  • CASB WG:
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
    • 翻訳資料のサマリ版資料の作成(SaaS Governance Best Practices for Cloud Customers)。Congressで発表した資料をベースに要点をまとめたサマリ版の資料の完成を目指す。その資料作成し公開することを計画。時期は4月~5月ごろを想定。
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1。執筆終わり。最終レビュー中。1月末リリース予定。
    • 次に、統合版を考えたい。
  • 健康医療情報管理 WG:
    • 遠隔支援ロボットのサイバーセキュリティ。peer review版が公開。CSA+MITREで進めている。ユースケースとして日本も入っている。
    • ZeroTrust Architecture in Healthcareを検討中。
  • DevSecOps/サーバーレスWG:
    • グローバルで、サーバレスとNIST SP800-53とのマトリックスが3分の2くらい終了。
    • 新たなサブグループ、プライバシーバイデザインが、来年の4月末までにドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
    • ナノオプトメディア講演終了。
    • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
    • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳も要検討。
  • クラウドセキュリティ自動化WG:
    • キックオフミーティングを11/29に実施。
    • SSPMとVRM/TPRMの説明会を実施。(12/12
    • DevSecOpsの翻訳が完了した時点で、ブログ公開を予定。

2022年11月活動状況

  • CCM/STAR WG:
    • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
    • WGの名前を名前をCCM WGに変更する。
    • CCM/STAR推進サブWG : 休止中
      • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
  • SDP WG:
    • 活動休止中
  • 翻訳WG:
    • Top Threats to Cloud Computing Pandemic Eleven : 公開済。。
    • Security Guidance v4見直し:作業中(停滞中)
  • IoT WG:
    • IoT Control Matrix V2に続いてV3を輪講形式でWG内で勉強会開始する。次回会議より開始。
  • クラウドセキュリティWG
    • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
  • CASB WG:
    • 翻訳資料の調査(SaaS Governance Best Practices for Cloud Customers)
    • この資料を使ったCongress の講演内容の作成、内容のすり合わせを実施中
    • Congress終了後、内容をブログ展開していく予定。
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1。執筆終わり。現在編集者に委託中。
  • 健康医療情報管理 WG:
    • 遠隔支援ロボットのサイバーセキュリティ。peer review版が公開。CSA+MITREで進めている。ユースケースとして日本も入っている。
  • DevSecOps/サーバーレスWG:
    • グローバルで、サーバレスとNIST SP800-53とのマトリックスが3分の1くらい終了。
    • 新たなサブグループ、プライバシーバイデザインが、来年の4月末までにドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
    • ナノオプトメディア講演終了。
    • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。

2022年10月活動状況

  • CCM/STAR WG:
    • ISMAPマッピングの英語版をCSA本部に送付してオリジナルとしてリリース完了。
    • WGの名前を名前をCCM WGに変更する。
    • CCM/STAR推進サブWG
      • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
  • SDP WG:
    • 活動休止中
  • 翻訳WG:
    • Top Threats to Cloud Computing Pandemic Eleven : 作業進行中。担当者別翻訳レビューおよびチームレビュー会議開催済みで、最終レビュー版作成済。最終レビュー中。
    • Security Guidance v4見直し:作業中(停滞中)
  • IoT WG:
    • IoT Control Matrix V2に続いてV3を輪講形式でWG内で勉強会開始する。次回会議より開始。
  • クラウドセキュリティWG
    • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
  • CASB WG:
    • 翻訳資料の調査(SaaS Governance Best Practices for Cloud Customers)
      この資料を使ったCongress の講演内容の作成、内容のすり合わせを実施中
    • Congress終了後、内容をブログ展開していく予定。
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1 分担を決めた。理解を深めている。8月からアウトプットフェーズに入る。章番号の修正に手間取っている。内容は次回でフィックス。editorial修正を含め12月~1月リリース予定。
    • WORDの校正を行いたいので、WORD専門者を選定完了。NDAが必要。
    • 個人情報保護法の章番号が大きく変わっている。参照先の章番号の見直しが必要。
    • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
  • 健康医療情報管理 WG:
    • 次回ブログ 10月。「医療のサードパーティーベンダーリスク管理」
  • DevSecOps/サーバーレスWG:
    • グローバルで、サーバレスとNIST SP800-53とのマトリックス、作業分担が決まり、作業中。
    • ナノオプトメディアより、Security Daysで講演。合わせて以下の講演を実施予定。
      イベント名:EdgeTech+ 2022
      会場:パシフィコ横浜
      日時:11月18日(金) 15:30-16:15
      表題:クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン

2022年9月活動状況

  • CCM/STAR WG:
    • 英語版をCSA本部に送付してオリジナルとしてリリースすることに関しては、CSA本部のフィードバックを元に調整中。
    • Congressでの講演の検討中。
    • CCM/STAR推進サブWG
      • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
  • SDP WG:
    • 活動休止中
  • 翻訳WG:
    • 「Top Threats to Cloud Computing Pandemic Eleven」の翻訳中。担当者別翻訳レビューおよびチームレビュー会議開催済みで、最終レビュー版を編集中。
    • Security Guidance v4見直し:作業中(停滞中)
  • IoT WG:
    • IoT Control Matrix V2に続いてV3を輪講形式でWG内で勉強会開始する。次回会議より開始。
    • 今後の活動について、以下を進める。
      • LACスマートシティーのお話
  • クラウドセキュリティWG
    • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
  • CASB WG:
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
    • SaaS governance best practices for Cloud customersに関するCongress の講演内容について複数回、すり合わせを継続中。今後これらの内容をブログ展開していく予定。
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1 分担を決めた。理解を深めている。章番号の修正に手間取っている。内容は次回でフィックス。editorial修正を含め12月リリース予定。
    • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
  • 健康医療情報管理 WG:
    • 次回ブログ 10月。「医療のサードパーティベンダーリスクマネージメント」を予定
  • DevSecOps/サーバーレスWG:
    • グローバルで、サーバレスとNIST SP800-53とのマトリックス、作業分担が決まり、作業中。
    • ナノオプトメディアより、Security Daysで講演。合わせて以下の講演を実施予定。
      イベント名:EdgeTech+ 2022
      会場:パシフィコ横浜
      日時:11月18日(金) 15:30-16:15
      表題:クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン

2022年8月活動状況

  • CCM/STAR WG:
    • 英語版をCSA本部に送付してオリジナルとしてリリースすることに関しては、CSA本部のフィードバックを元に調整中。
    • 検討中のWGセミナー検討中は、Congressでの講演の検討に変更。
    • CCM/STAR推進サブWG
      • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
  • SDP WG:
    • Authenticate Before Connect Consortium “ABCC”(接続前認証推進協議会)設立準備中。
  • 翻訳WG:
    • 「Top Threats to Cloud Computing Pandemic Eleven」の翻訳中。
    • Security Guidance v4見直し:作業中(停滞中)
  • IoT WG:
    • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第5回会議:8/4実施。
    • 今後の活動について、以下を進める。
      • LACスマートシティーのお話
      • IoT V3の勉強会
        • V2の勉強会をアップデートして進める
  • クラウドセキュリティWG
    • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
  • CASB WG:
    • 翻訳資料の調査
      • この資料を使ったCongressの講演内容の仕込み中。これをブログ展開していく予定。
    • SaaSの運用状況の調査(アンケート企画):ペンディング
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1 分担を決めた。理解を深めている。8月からアウトプットフェーズに入る。11月リリース目標。
    • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
  • 健康医療情報管理 WG:
    • ワークショップを7/27に開催済。
    • ブログ、8月公開済。「医療のサプライチェーンセキュリティ」
    • 次回ワークショップ 9/22。「医療のサプライチェーンセキュリティ」マクニカに参加していただく(製造業のサプライチェーン)。
  • DevSecOps/サーバーレスWG:
    • グローバルで、サーバレスとNIST SP800-53とのマトリックス、作業分担が決まり、作業中。
    • 8/23 @ITで講演済。ナノオプトメディアの講演:11/8。

2022年7月活動状況

  • CCM/STAR WG:
    • CCMV4.0.2とISMAPのマッピング日本語版公開。英語版をCSA本部に送付してオリジナルとしてリリースすることに関しては、CSA本部のフィードバックを元に調整中。
    • 上記についてWGセミナーを検討中。
    • CCM/STAR推進サブWGがスタート。
      最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
  • SDP WG:
    • Authenticate Before Connect Consortium “ABCC”(接続前認証推進協議会)設立準備中。
  • 翻訳WG:
    • 「Top Threats to Cloud Computing Pandemic Eleven」の翻訳を開始。
    • Security Guidance v4見直し:作業中(停滞中)
  • IoT WG:
    • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第4回会議:7/7実施。
    • Guide to IoT Controls Matrix V3, IoT Control Matrix V3の翻訳版公開。
  • クラウドセキュリティWG
    • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
  • CASB WG:
    • SaaS Governance Best Practices for Cloud Customers(CASBWGで翻訳中)
    • SaaSのセキュリティ評価に関する課題、CAIQやCMMなどの活用を促す方法について
    • 共通の課題認識をもっているミツカル様のConorisの事例を受けて、今後の方針についてディスカッション。今後の参考で改めてミツカル様に話を伺う方向
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1 分担を決めた。理解を深めている。8月からアウトプットフェーズに入る。11月リリース目標。
    • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
  • 健康医療情報管理 WG:
    • 第7回CSA関西・健康医療WG公開ワークショップ「バイオエコノミー産業のサイバーセキュリティ最新動向」(7/27)
    • ブログ、8月公開予定。「医療のサプライチェーンセキュリティ」
  • DevSecOps/サーバーレスWG:
    • グローバルで、サーバレスとNIST SP800-53とのマトリックス、作業分担が決まり、作業中。
    • @ITで講演予定(8/23)。ナノオプトメディアと同じ話。

2022年6月活動状況

  • CCM/STAR WG:
    • CSA本部に、CCM/ISMAPマッピングを提出し、賛同を得た。
    • 日本語の公開用ドラフトを作成し、7月公開で準備中。
    • 次期取り組みについての課題
      • CCMのv405がリリースされた
      • ISMAPの2022版がリリースされた
      • ISMAPに「ISMAP-LIU (Low Impact Use)」という新たなSaaSサービス登録制度が創設された。これは機密性2以下の低リスク業務処理・情報処理を対象とし、調達側の影響度評価の負担軽減を目指している。
    • CCM/STAR推進サブWGがスタート。
      最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
  • SDP WG:
    • Authenticate Before Connect Consortium “ABCC”(接続前認証推進協議会)設立準備中。
  • 翻訳WG:
    • 「ハイブリッドクラウドのセキュアな接続要件」公開。
    • 「Top Threats to Cloud Computing Pandemic Eleven」の翻訳を開始。
    • Security Guidance v4見直し:作業中(停滞中)
  • IoT WG:
    • IoTControl Matrix V3の翻訳も近々開始予定。翻訳ボランティアを募って実施。6月28日公開。
    • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第4回会議:6/9実施。定期的に輪講を実施中。
    • Guide to IoT Controls Matrix V3 翻訳作業中。6月28日公開。
  • クラウドセキュリティWG
    • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
  • CASB WG:
    • 6月22日に定例を実施
      • SaaSのセキュリティ評価に関する課題、CAIQやCMMなどの活用を促す方法について
      • 共通の課題認識をもっているミツカル様のConorisの事例を受けて、今後の方針についてディスカッション
        今後の参考で改めてミツカル様に話を伺う方向
    • SaaS Governance Best Practices for Cloud Customersの翻訳対応について
      • ドキュメントがリリースされたため、翻訳プロセスを開始
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1 分担を決めた。理解を深めている。5/6月から原稿案が出てくる予定。11月リリース目標。
      個人関連情報の第三者提供、海外移転の確認。保護委員会に問い合わせ中。執筆は、それが明確になり次第着手。
    • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
  • 健康医療情報管理 WG:
    • ワークショップを7/27に開催予定。
  • DevSecOps/サーバーレスWG:
    • DevSecOps WGとの協調で、随時資料が出てくる予定。ウエブの変更等終了。
    • グローバルで、サーバレスとNIST SP800-53とのマトリックスをスタート。
    • C-Level Guidance to Securing Serverless Architectures 翻訳公開済。

2022年5月活動状況

  • CCM/STAR WG:
    • CCMV4.0.2とISMAPのマッピング作業中。6月リリース目標。最終調整・レビュー中。
    • CCM/STAR推進サブWGを設立準備中。渡邉さんプランに基づいて、FY22よりスタート予定。
  • SDP WG:
    • SDP Specification v2_0 翻訳公開済
    • Authenticate Before Connect Consortium “ABCC”(接続前認証推進協議会)設立準備
  • 翻訳WG:
    • 翻訳作業中:Secure Connection Requirements of Hybrid Cloud
      →機械翻訳&翻訳メモリツールを用いた、翻訳作業の新プロセスで実施中。
    • 作業継続中:Guidance v4 和訳見直し(進捗停滞中)
  • IoT WG:
    • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第3回会議:5/12実施。定期的に輪講を実施中。
    • Guide to IoT Controls Matrix V3 翻訳作業中。
    • IoTControl Matrix V3の翻訳も近々開始予定。翻訳ボランティアを募って行う予定。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
    • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。1ヶ月後には翻訳WGへ渡せる見込み。
  • CASB WG:
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
      • 翻訳資料の調査
        • Cloud Octagon Model
        • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」(US最終レビュー中)
      • SaaSの運用状況の調査(アンケート企画)
        • 事前の感触をつかむためのBlog(SaaSとCCMやCAIQに関する内容)を作成予定
        • CSC/CSP/CASBベンダーと分けてヒアリングをかける予定
        • SaaS Security and Misconfigurations Report -> CASBWGで翻訳計画中
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1 分担を決めた。理解を深めている。5/6月から原稿案が出てくる予定。11月リリース目標。
      個人関連情報の第三者提供、海外移転の確認。保護委員会に問い合わせ中。執筆は、それが明確になり次第着手。
    • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
  • 健康医療情報管理 WG:
    • ブログ:医療クラウドにおけるランサムウェア攻撃予防対策 公開済。
    • 医療のサプライチェーンセキュリティ、公開済。翻訳をどうするか検討中。
  • コンテナマイクロサービスWG:
    • DevSecOps WGとの協調で、随時資料が出てくる予定。ウエブの変更等必要(諸角)
    • グローバルで、サーバレスとNIST SP800-53とのマトリックスをスタート。
    • C-Level Guidance to Securing Serverless Architectures 翻訳。

2022年4月活動状況

  • CCM/STAR WG:
    • CCMV4.0.2とISMAPのマッピング作業中。6月リリース目標。5/9に最終調整・レビュー中。
    • CCM/STAR推進サブWGを設立準備中。
  • SDP WG:
    • SDP Specification v2_0 翻訳レビュー中。
    • Authenticate Before Connect Consortium “ABCC”(接続前認証推進協議会)設立準備
  • 翻訳WG:
    • ガイダンスV4の見直し作業中。
    • 翻訳ツール(Memsource)で新しい機能。DeepLが組み込まれているのでこちらで進める予定。
    • Secure Connection Requirements of Hybrid Cloud 翻訳作業中。
  • IoT WG:
    • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第2回会議:3/2実施。定期的に輪講を実施中。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
    • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。1ヶ月後には翻訳WGへ渡せる見込み。
  • CASB WG:
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
      • 翻訳資料の調査
      • Cloud Octagon Model
      • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」(US最終レビュー中)
    • SaaSの運用状況の調査(アンケート企画)
      • 事前の感触をつかむためのBlog(SaaSとCCMやCAIQに関する内容)を作成予定
      • CSC/CSP/CASBベンダーと分けてヒアリングをかける予定
  • プライバシWG:
    • 2月からCoCJPの2022年版の差分を入れたV1.1 分担を決めた。理解を深めている。5/6月から原稿案が出てくる予定。11月リリース目標。
    • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
  • 健康医療情報管理 WG:
    • ワークショップ4月12日終了。テーマは、医療のランサムウエア。
    • 医療のサプライチェーンセキュリティ、peer review 中。
    • ファームIT&Digital EXPO、4/20にCSAとしてプレゼン実施。
  • コンテナマイクロサービスWG:
    • CSA本部で、サーバレスのexecutive向け。リリース済。
    • DevSecOps WGとの協調で、随時資料が出てくる予定。
    • NIST SP800-204C サービスメッシュを利用したマイクロサービス用のDevSecOps。概説書を作成中。 公開済。
    • グローバルで、サーバレスとNIST SP800-53とのマトリックスを検討中。

2022年3月活動状況

  • CCM/STAR WG:
    • CCMV4.0.2とISMAPのマッピング作業中。5月リリース目標。
    • CCM/STAR推進サブWGを設立準備中。
  • SDP WG:
    • Authenticate Before Connect Consortium “ABCC”(接続前認証推進協議会)設立準備。
  • 翻訳WG:
    • ガイダンスV4の見直し作業中。
    • How to Design a Secure Serverless Architecture の翻訳、リリース済。
    • 翻訳ツール(Memsource)で新しい機能。DeepLが組み込まれているのでこちらで進める予定。
    • 次の翻訳について翻訳候補の選定中。
  • IoT WG:
    • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第2回会議:3/2実施。定期的に輪講を実施中。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7~8月。AWS:4月、Azure/GCP:その後1~2か月で進めていく。全部そろってから公開。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
    • WGメンバー整理済。MLも整理完了。
    • “Secure DevOps and Misconfigurations”の翻訳について調整中(来月開始予定)。進め方については、翻訳WG松浦さんと調整する。
  • CASB WG:
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。会員企業にヒアリング中。
      また、以下に関して、情報交換や検討を行い、まとめる形でSaaSのリスクアセスメントに関するブログ等のアウトプットが出せないか、英語の資料については翻訳ができないか検討を継続して進めています

      • Cloud Octagon Model
      • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」
      • クラウドサービス 提供における情報セキュリティ対策ガイドライン(第3版)
      • 最新のSaaSからの情報漏洩インシデント
      •  SaaSの利用実態に対するSurveyの実施も検討
  • プライバシWG:
    • CoCJPの2022年版の差分を入れたV1.1を作成中。
      PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
  • 健康医療情報管理 WG:
    • ワークショップ4月12日開催。テーマは、医療のランサムウエア。
    • 医療のサプライチェーンセキュリティ、peer review 中。
    • ファームIT、4/20にCSAとしてプレゼン予定。
  • コンテナマイクロサービスWG:
    • CSA本部で、サーバレスのexecutive向け。もうすぐリリース予定。
    • DevSecOps WGとの協調で、随時資料が出てくる予定。
    • NIST SP800-204C サーバメッシュを利用したマイクロサービス用のDevSecOps。概説書を作成中。
    • グローバルで、サーバレスとNIST SP800-53とのマトリックスを検討中。

2022年2月活動状況

  • CCM/STAR WG:
    • CCMV4.0.2とISMAPのマッピング作業中。来年5月リリース目標。作業代替者をアサインし、リリース目標を維持する方向で進めている。
    • CCM/STAR推進サブWGを設立準備中。
  • SDP WG:
    • “toward a zero trust architecture”、SDPWGで翻訳、リリース済。
  • 翻訳WG:
    • ガイダンスV4の見直し作業中。
    • How to Design a Secure Serverless Architecture の翻訳、リリース済。
    • 翻訳ツール(Memsource)の新しい機能で、DeepLが組み込まれているようになった。機能について調査を進める。契約については、一旦止めて、再度契約しなおす予定。
  • IoT WG:
    • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第1回会議:2/2実施。今後、定期的に輪講を実施する。。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースのタイミングは6~7月。AWS:3月、Azure/GCP:その後1~2か月で内容をまとめる作業を進めていく。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
    • WGメンバー整理済。MLも整理完了。
    • “Secure DevOps and Misconfigurations”の翻訳について調整中(来月開始予定)。進め方については、翻訳WG松浦さんと調整する。
  • CASB WG:
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。会員企業にヒアリング中。
      また、以下に関して、情報交換や検討を行い、まとめる形でSaaSのリスクアセスメントに関するブログ等のアウトプットが出せないか、英語の資料については翻訳ができないか検討を継続して進めています

      • Cloud Octagon Model
      • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」
      • クラウドサービス 提供における情報セキュリティ対策ガイドライン(第3版)
      • 最新のSaaSからの情報漏洩インシデント
      •  SaaSの利用実態に対するSurveyの実施も検討
  • プライバシWG:
    • メンバーのリフレッシュ終了。
    • 2月からCoCJPの2022年版の差分を入れたV1.1を作成開始。
      PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
  • 健康医療情報管理 WG:
    • ワークショップ3月予定。これからアナウンス。テーマは、医療のランサムウエア。
    • CSA本部の医療のサプライチェーンセキュリティ、peer review 中。
    • ファームIT、4/20にCSAとしてプレゼン予定。
  • コンテナマイクロサービスWG:
    • How to Design a Secure Serverless Architecture の翻訳を翻訳WGからリリース。
    • CSA本部で、サーバレスのexecutive向け。もうすぐリリース予定。
    • DevSecOps WGとの協調で、CSA本部から随時資料が出てくる予定。

2022年1月活動状況

  • CCM/STAR WG:
    • CCMV4.0.2とISMAPのマッピング作業中。来年5月リリース目標。作業代替者をアサインし、リリース目標を維持する方向で進めている。
    • CCM/STAR推進サブWGを設立準備中。
  • SDP WG:
    •  “toward a zero trust architecture”、SDPWGで翻訳中。2/4の会議で最終レビューを行いリリースする予定。
  • 翻訳WG:
    • ガイダンスV4の見直し作業中。
    • How to Design a Secure Serverless Architecture の翻訳中。最終校正完。1月中のリリース予定。
  • IoT WG:
    •  IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第1回会議は延期。リスケ2/2。
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。AWS:2~3月、Azure/GCP:その後3か月ごとを予定。公開については、今後検討。
    • DevSecOps解説セミナー: 検討中。
    • WGメンバー整理済。MLの方も整理する->諸角。
  • CASB WG:
    • 【12月22日 6回目の定例を実施】
      • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
        以下に関して、情報交換や検討を行い、まとめる形でSaaSのリスクアセスメントに関するブログ等のアウトプットが出せないか、英語の資料については翻訳ができないか検討を継続して進めています。

        • Cloud Octagon Model
        • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」(レビュー中)
        • クラウドサービス 提供における情報セキュリティ対策ガイドライン(第3版)
        • 最新のSaaSからの情報漏洩インシデント
        • SaaSの利用実態に対するSurveyの実施も検討
  • プライバシWG:
    • メンバーのリフレッシュ中。1月末をめど。
    • 1月からCoCJPの2022年版の差分を入れたV1.1を作成開始する予定。
  • 健康医療情報管理 WG:
    • ワークショップ実施。遠隔医療のセキュリティのブログを12月公開。1月26日に遠隔医療のワークショップを実施する。
    • CSA本部から、来年6本リリースされる予定。
    • 医療機器サイバーセキュリティ協議会との連携。勉強会、ワークショップを行う方向で調整中。連携団体を目指す。(関西支部ドライブ)
    • CSA本部、ZTAを病院に導入することについてリサーチが行われている。
  • コンテナマイクロサービスWG:
    • 翻訳を翻訳WGで作業中(serverless architecture)。
    • CSA本部で、サーバレスのexecutive向けのドキュメント作成中。現在、Peer Review中。

2021年12月 活動状況

  • CCM/STAR WG:
    •  0.2とISMAPのマッピング作業中。来年5月リリース目標。作業代替者をアサインし、リリース目標を維持する方向で進めている。
    • CCM/STAR推進サブWGを設立準備中。
  • SDP WG:
    • SDP Spec v2 来年2月リリース予定。
    •  “toward a zero trust architecture”がCSA Washington chapterよりリリース。SDPWGで翻訳を行うことに決定。作業開始。1月前半公開を目指す。
  • 翻訳WG:
    • The-State-of-Cloud-Security。12月14日公開済。
    • ガイダンスV4の見直し作業中。
    • How to Design a Secure Serverless Architecture の翻訳作業中。
  • IoT WG:
    • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。IoT Control MatrixのV3を来年RSAに合わせてリリース予定。ー> 要検討
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。AWS:2~3月、Azure/GCP:その後3か月ごとを予定。公開については、今後検討。
    • DevSecOps解説セミナー: 検討中。
    • WGメンバー整理済。MLの方も整理する->諸角。
  • CASB WG:
    • SaaSをセキュアに活用するための、指標や各種参考資料の情報共有を実施
    • 12/22定例会で以下の検討を進める。
    • 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(総務省)
    • Cloud Octagon Model(SaaS Governamce WG)
    • CSA SaaS Governance Best Practices For Cloud Customers
  • プライバシWG:
    • 「個人情報の保護に関する法律準拠の為の行動規範」公開済(12月2日)。
    • メンバーの更新について、次回会議で確認を進めて実施する。
    • 1月からCoCJPの2022年版の差分を入れたV1.1を作成開始する予定。
  • 健康医療情報管理 WG:
    • 遠隔医療のセキュリティのブログを12月公開予定。
    • 1月26日に遠隔医療のワークショップを実施する。
    • CSA本部から、来年6本の資料がリリースされる予定。
  • コンテナマイクロサービスWG:
    • 翻訳を翻訳WGで作業中(serverless architecture)。
    • CSA本部で、サーバレスのexecutive向けのドキュメント作成中。

2021年11月活動状況

  • CCM/STAR WG:
    • 0.2とISMAPのマッピング作業中。一時レビューが半分終了。来年5月リリース目標。進捗が進んでいないので、作業代替者をアサインし、リリース目標を維持する方向で進める。
    • CCM/STAR推進サブWGを設立準備。渡邉さんサブリーダー。11/30、打合せを行う予定。
  • SDP WG:
    • ISDP Spec v2 来年1月リリース予定。
    • “toward a zero trust architecture”がCSA Washington chapterよりリリース。全員で読んで、次回会議で方針を検討する(翻訳するかどうかも含め)。
  • 翻訳WG:
    • The-State-of-Cloud-Securityの翻訳中。12月公開予定。
    • ガイダンスV4の見直しに着手。
    • 次の翻訳についても検討中。
  • IoT WG:
    • IoT Control Matrix V2を輪講形式でWG内で勉強する。メンバー募集中、まもなく開始予定。
    • IoT Control MatrixのV3を来年RSAに合わせてリリース予定。ー> 要検討
  • クラウドセキュリティWG
    • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。AWS:1~2月、Azure/GCP:その後3か月ごとを予定。公開については、今後検討。
    • DevSecOps解説セミナー: ブログ、セミナーの方向で検討中。
    • WGメンバー整理中。11月までに返事がない場合には削除する予定。
  • CASB WG:
    • 2回CASBWGの定例を開催しました。
      • 10月26日: 各セキュリティ認証を掘り下げ、今後の活動方針を議論
        活動をよりSaaSをセキュアに利活用するための、情報共有と提供者、利用者に対する啓蒙活動に絞る
      • 11月24日: SaaSをセキュアに活用するための、指標や各種参考資料の情報共有を実施
      • 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(総務省)
      • Cloud Octagon Model(SaaS Governance WG)
      • CSA SaaS Governance Best Practices For Cloud Customers (2022の2月にリリース予定)
        それぞれの特徴やISMAPなど他の評価制度などとの関連性をまとめて、WGからブログ等で何かアウトプットできないかを検討中
  • プライバシWG:
    • CoCJP 0 11/29完成。
    • メンバーの更新を12月に行う。
    • 1月からCoCJPの2022年版の差分を入れた1を作成開始する予定。
  • 健康医療情報管理 WG:
    • ワークショップ実施。遠隔医療のセキュリティのブログを12月公開予定。1月に遠隔医療のワークショップを実施。
    • CSA本部から、医療機器のインシデントレスポンスplaybookがリリースされた。厚生労働省に参考資料として提出した。
  • コンテナマイクロサービスWG:
    • サーバレスアーキテクチャの概説をPPTで作成。翻訳を翻訳WGにお願いしたい(serverless architecture)。-> 翻訳WGで検討する。

2021年10月活動状況

  • CCM/STAR WG:
    • CCMv4.0.2とISMAPのマッピング作業中。一時レビューが半分終了。来年5月リリース目標。
    • STAR認証に関するブログ2本公開。。
  • SDP WG:
    • Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement”のピアレビュー参加
    • SDP Spec v2のWorking Group Sessionに参加(どちらも小野さん)
    • SDPの現状、ZScaler等との関連についてミーティングを実施(テクマトリックス太田さん)
  • 翻訳WG:
    • Threat Modeling Frameworkの翻訳中。まもなく公開予定。
    • ガイダンスV4の見直しに着手。
  • IoT WG:
    • 活動無し。
  • クラウドセキュリティWG
    • 「クラウド重大セキュリティ脅威対策 – DevSecOpsのユースケース –」公開。
    • 現在、Well Architected framework を掘り下げている。ドラフト完了。12~1月公開予定で進めている。さらに、Azure等にフォーカスするかを検討する。
  • CASB WG:
    • 9/29勉強会実施。既存のCASBユーザの状況の検討。State of Cloud Security Risk, Compliance, and Misconfigurationsを使った勉強会を実施。10/26会議:セキュリティ認証を掘り下げる。
  • プライバシWG:
    • 最終レビュー(校正レベル)を11月5日予定。Congress前にリリース予定で進めている。
  • 健康医療情報管理 WG:
    • 医療Blockchainのブログ作成中。ワークショップは11/22予定(大和さんを招待)。
  • コンテナマイクロサービスWG:
    • サーバレスのドキュメントの解説版を作成中。資料として作成する。11月中旬予定。
    • 翻訳については、解説版作成後、翻訳WGに依頼することになりそう。

2021年9月活動状況

  • CCM/STAR WG:
    • CCMV4.0.2とISMAPのマッピング作業中。
      • FedRAMPの規格も追加して評価する。
      • 3月リリース予定。
  • SDP WG:
    • “Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement”のピアレビュー参加。
  • 翻訳WG:
    • 翻訳作業をキックする予定(来週のミーティング)
    • CSA本部公開資料のどれを翻訳するかの計画を行う。
  • IoT WG:
    • 8月活動無し。
  • CASB WG:
    • 9/29勉強会実施予定。最新のCASBソリューション状況、CSA本部状況などについて情報共有する。
  • プライバシWG:
    • CoC for個人情報保護法
      • レビュー完了
      • 序文作成中。個人情報保護法の動きが速いので、それを含めて検討中。
      • その後体裁を整える作業に入る。
      • 11月リリース予定。
  • 健康医療情報管理 WG:
    • 関西支部で、大阪商工会議所の東様より連絡あり。スマートシティーにおけるブロックチェーンの検討を行う。大阪商工会議所で再建とが入っていてペンディング。
  • コンテナマイクロサービスWG:
    • CSA本部から公開されたMicroServiceおよびServerlessの資料の解説版を作成予定。翻訳については、その後検討する。

2021年8月活動状況

  • ISMAPタスクフォース:
    • CMV3.0.1と「政府情報システムのためのセキュリティ評価制度(ISMAP)」とのマッピング公開 (2021/8/9)
    • 今後は、CCM/STAR WGで活動継続。
  • CCM/STAR WG:
    • CCMV4.0.2とISMAPのマッピング作業開始。
      • リリース目的の明確化。
        • ジャパン向け: ISOとISMAPのギャップも記載。
        • 本部向け: CCMとISMAPのギャップ分析。
    • ISMAPタスクフォースを取り込み形で新たに活動開始。
  • SDP WG:
    • 活動再開に向け会議実施(2021/8/20)。以下の領域で活動を進める:
      • SDP V2の理解。必要に応じて翻訳。
      • LAB環境を用いた検討会等をWGで実施。
      • 千葉工業大学との連携
      • CSA本部が作ろうとしているゼロトラストとSDPの教育コースの調査・検討。
      • SASEとSDPの検討。
  • 翻訳タスクフォース:
    • CCMV4.0.2, CAIQV4.0.2の日本語版公開 (2021/8/20)
    • 今後は翻訳WGとして進める。
  • 翻訳WG:
    • 翻訳については、今までの進め方を踏襲する。WGとしては、翻訳管理を行い、翻訳はボランティアを集めて行う。
    • 新たな活動として、訳語集の作成、既存文書の見直し、機械翻訳、翻訳差分管理の検討等を行う。
  • IoT WG:
    • 7月活動無し。
  • CASB WG:
    • 7月の定例会にて、CASB周辺の状況アップデートと、クラウドセキュリティの整理、本国のCSAブログ内容のシェアを実施。次回は9月中旬~末頃に実施予定。
    • 参加人数が少ないのが課題となっており、もう数回実施してみて、その結果次第では、別WGへの統合も検討したい。
  • プライバシWG:
    • レビュー完了。校正を開始する(アウトソースの可能性もあり)。11月リリースを目標。
  • 健康医療情報管理 WG:
    • 関西支部で、大阪商工会議所の東様より連絡あり。スマートシティーにおけるブロックチェーンの検討を行う。オンライン会議を実施。
    • ブロックチェーンWGのDIDなどとの連携が必要かも。
  • コンテナマイクロサービスWG:
    • CSA本部からの新しいドキュメントの公開待ち。

2021年7月活動状況

  • CCM/STAR WG:
    • CCM V4翻訳版公開(2021年7月19日)(翻訳タスクフォースの協力のもと)。
    • 0.2, CAIQV4.0.2翻訳作業開始
  • SDP WG:
    • SDP Specification V2へのフィードバック。
    • 今後の活動方針について、WGメンバーで協議を進める。
  • 翻訳タスクフォース:
    • CCM V4翻訳公開(2021年7月19日)
    • Critical-Controls-Salesforce翻訳公開(2021年7月9日)
  • IoT WG:
    • 7月活動無し。
  • CASB WG:
    • WG会議を7月29日に開催。ブログの件をディスカッションする予定。
  • プライバシWG:
    • 文言の統一、通しレビュー中。2回目のレビューを8月予定。3回くらいのレビューで終了する予定。Informative Marketingを追記する予定。
    • CoC for California(?) の状況を調べてプライバシWGに連絡する。
  • 健康医療情報管理 WG:
    • CSA本部でPeer Review 3本あり。さらに追加ドキュメントの作成予定。
      CSAジャパン関西支部のブログで概要を紹介する予定。
    • HealthcareWG とIoTWGから、医療機器のインシデントレスポンスのプレイブックがまもなくPeer Review.
  • コンテナマイクロサービスWG:
    • マイクロサービスのアーキテクトの資料がCSA本部からリリースされる予定。WGとして概要説明資料を作成する予定。
    • “serverless framework” がpeer review中。まもなくリリースされる予定。。
    • DevSecOpsとコンテナマイクロサービスの資料をCSA本部で検討中。
  • ISMAPタスクフォース:
    • 7月26日ISMAPV3のクロージング。来週の運営委員会で終了報告とリリースについて連絡する。

2021年6月活動状況

  • CCM/STAR WG:
    • CCM V4翻訳中(翻訳タスクフォースの協力のもと)。
  • SDP WG:
    • 千葉工業大学とのコラボに向けて、情報交換。
    • SDP Specification V2へのフィードバック実施。
  • 翻訳タスクフォース:
    • クラウドインシデントレスポンス(CIR)フレームワーク翻訳公開(2021/6/3)
    • CCM V4翻訳中
    • Critical-Controls-Salesforce翻訳中
  • IoT WG:
    • IoTセキュリティコントロールフレームワーク V2 翻訳公開(2021/5/30)
  • CASB WG:
    • 勉強会「SaaSの設定を可視化、監査するSSPMとは?」(2021/6/25実施予定)
    • 7月定例会実施予定
  • プライバシWG:
    • CoCJP作成は、各章は執筆がほぼ完了。通しでレビューを実施予定。
  • Health WG:
    • 6月ブログアップ。7月にこの内容で勉強会を行う予定。
  • コンテナマイクロサービスWG:
    • サーバレスの資料が7月リリースされる予定。
    • コンテナマイクロサービスの資料はその後リリースされる予定。
    • DevSecOpsとコンテナマイクロサービスの資料をCSA本部で検討中。
  • ISMAPタスクフォース:
    • 7/26クロージングミーティング予定。CCM 0.1とISMAPのマッピング済。8月運営委員会でリリースに向けて承認を得る予定。
    • CCMV4とのマッピングを8月開始予定。
    • ISMAPタスクフォースとCCM/STAR WGの合体を含めて検討。
  • クラウドセキュリティWG:
    • アーキテクチャフレームワークを使った検討。今後どう進めていくかを検討中。
    • クラウドにおけるセキュリティ評価、セキュリティサービスの比較を行うかどうかを検討中。
  • データセキュリティWG:
    • ドキュメントがまとまりつつある。6/28に完結確認。公開に進める予定。
    • 情報交換の場としてWGは継続する。