サイボウズのセキュリティ室

サイボウズ株式会社のセキュリティ室です。セキュリティ文書や書籍の紹介・まとめ記事を公開することで、企業のセキュリティ対策が促進されることを期待します。

固定された記事

ISMAP概要（監査編）。ISMAPの監査はどのようになされるか解説します。

ISMAP 概要（監査編）前回の記事では、ISMAP制度について紹介をさせていただきました。今回はISMAPを自社のクラウドサービスの利用基準として使えるか検討されている方、並びにISMAPクラウドサービスリスト（以下、単にリストとします。）への登録を目指すクラウドサービス事業者様に参考となるような監査の実際のところを解説したいと思います。前回の記事(制度編）はこちら。ポイントこの記事ではポイントを以下の３つに絞って解説します。監査機関による監査を受ける必要があ

ISO27001:2022 対応日記　息抜き編

2024年10月11日、無事にISMSの移行審査が完了しました。年々 ISMS 審査は厳しくなっていっている気がしました。さまざまな指摘を受けましたが、なんとか完了をしています。移行できたかどうかは、審査機関の内部のレビューを得てからとなり、1カ月程度の時間がかかる見込みです。 ISMS の担当者の気苦労も多くなってきており、審査後は息抜きを実施してきました。今年の店は、サイボウズ本社の近くにあるビアホール「伊勢角屋麦酒八重洲店」にお邪魔しました。三重県のクラフトビ

サイボウズのセキュリテ…

1か月前

2
CSIRT活動における kintone 活用術

サイボウズでは、CSIRT活動を実施するうえで、自社製品 kintone を利用しています。どのように利用して CSIRT活動を実施しているのか紹介をします。今回の記事は、全面的に kintone の広告的な記事となっています。サイボウズの CSIRT は、会社のセキュリティを担当する CSIRT と、サイボウズ製品のセキュリティを担当する PSIRT で構成されています。 CSIRT活動とは？情報セキュリティ問題への対処を行うチームで、予防的な活動として、情報収集、

サイボウズのセキュリテ…

2か月前

5
海外向けに提供する「kintone」の SOC2 Type2 保証報告書を受領しました。

2024年8月8日海外向けに提供する「kintone」のSOC2 Type2 保証報告書を受領しました。翌日公開したニュースリリースはこちらです。適用範囲に、ご注意ください日本向けに提供している「kintone」の保証報告書ではありません。海外向けに提供する「kintone」をご利用の方、ご利用を検討いただいている方にのみお渡しできる報告書となっています。 SOC2 とは米国公認会計士協会（AICPA）が定めたサイバーセキュリティのフレームワークです。セキュリティ

サイボウズのセキュリテ…

2か月前

10

固定された記事

ISMAP概要（監査編）。ISMAPの監査はどのようになされるか解説します。

サイボウズのセキュリティ室

1年前

ISO27001:2022 対応日記　息抜き編

2

サイボウズのセキュリティ室

1か月前
CSIRT活動における kintone 活用術

5

サイボウズのセキュリティ室

2か月前
海外向けに提供する「kintone」の SOC2 Type2 保証報告書を受領しました。

10

サイボウズのセキュリティ室

2か月前

移行審査に向けた ISMS教育の実施

ISO/IEC 27001:2022 では、7.2 力量において、教育，訓練などに基づいた力量を備えていることを確実にする必要があり、文書化した情報の保持が求められています。サイボウズでは、毎年 ISMSを適用している業務に従事している方に、ISMSに関連する教育を実施し、確認テストと記録を残しています。今年から日本語を母国語としない方が ISMS適用業務を実施する体制となりました。従来の ISMS教育に関するコンテンツは毎年追加を重ねている関係で、資料が膨大になり

サイボウズのセキュリテ…

3か月前

8
移行審査に向けた ISMS教育の実施

8

サイボウズのセキュリティ室

3か月前
ISO27001:2022 対応日記　リスクアセスメント後編

前回の記事では、ISMS リスクアセスメントの前半の作業内容についてお伝えしました。今回は、リスクアセスメントの後半の作業、リスクを評価して、対応計画を立てる話です。リスクの評価現場でチェックリストに従って、リスク洗い出しをした結果は、ISMS事務局で内容を確認し、リスク値を算出します。リスク値の算出方法は、前回の記事を確認ください。洗い出したリスクは、文書で書いたものを提出いただくのですが、リスク値の算出のため、より具体的に、どのような事象をリスクと考えているのか、

サイボウズのセキュリテ…

4か月前

5
ISO27001:2022 対応日記　リスクアセスメント後編

5

サイボウズのセキュリティ室

4か月前
ISO27001:2022 対応日記　リスクアセスメント前編

前回の記事では、ISMSドキュメントの修正についてお伝えしました。この記事では、サイボウズのISMS移行審査に向けてリスクアセスメントを実施しましたので、実施したことを書きます。リスクアセスメントとは組織が抱える情報セキュリティリスクの分析と脆弱性の特定、リスクの評価、対応を決定する一連のプロセスを指します。リスクアセスメントの流れ情報資産を洗い出すリスクを算定する基準を決める脆弱性を洗い出すリスクを評価する対応計画を立てるという流れでリス

サイボウズのセキュリテ…

5か月前

4
ISO27001:2022 対応日記　リスクアセスメント前編

4

サイボウズのセキュリティ室

5か月前
ISO27001:2022 対応日記　ドキュメントの修正編

ISMS・ISMAPの作業に追われていて記事を作成する時間がなかなか取れませんでした。移行審査に向けた作業は順調に進んでいます。前回の記事では、移行計画の承認についてお伝えしました。この記事では、サイボウズのISMS移行審査について、継続して投稿しています。今回は、ISMSのプロセスを定めた「ISMSマニュアル」の修正点について書きました。 ISMSマニュアルとは？ISMSはマニュアルに従って実施する ISMSは定められた手順に従って、実施する必要があります。セキ

サイボウズのセキュリテ…

7か月前

3
ISO27001:2022 対応日記　ドキュメントの修正編

3

サイボウズのセキュリティ室

7か月前
ISO27001:2022 対応日記　移行計画承認編

前回の記事では、審査後のリフレッシュ方法についてお伝えしました。本記事で紹介している書籍はこちらで、以下 ISMS本とします。図解即戦力　ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査について書きます。今回はサイボウズの ISMS を、ISO/IEC27001:2022 版に準拠するように変更するため、変更計画書を策定し、承認を得ましたので、そのことについて記載します。

サイボウズのセキュリテ…

1年前

6
ISO27001:2022 対応日記　移行計画承認編

6

サイボウズのセキュリティ室

1年前
ISO27001:2022 対応日記　リフレッシュ編

前回の記事では、審査の実際について記事を書きました。前回の記事において、審査は精神的に疲れるためリフレッシュが必要であることをお伝えしました。サイボウズ ISMS事務局で試したリフレッシュ方法をお伝えしますので、参考にしていただければと思います。 ISMS反省会会場を新橋に移し、ISMS審査における反省会を実施しました。ひとりひとり別の審査員に帯同するため、他のメンバーの状況がわからないので、どのような質問を受け、どのような資料を使って対応したか、詳細にわたって情報を共

サイボウズのセキュリテ…

1年前

7
ISO27001:2022 対応日記　リフレッシュ編

7

サイボウズのセキュリティ室

1年前
ISO27001:2022 対応日記　審査編

前回の記事では、ISMSが新規格となり、移行審査が必要であり、移行審査の前にISMS関連ドキュメントを新規格に対応させる必要があることを書きました。本記事で紹介している書籍はこちらで、以下 ISMS本とします。図解即戦力　ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査について書きます。 [05] ISMS適合性評価制度の概要ISMS-AC 2018年4月より ISM

サイボウズのセキュリテ…

1年前

14
ISO27001:2022 対応日記　審査編

14

サイボウズのセキュリティ室

1年前
ISO27001:2022 対応日記　計画編

前回の記事では、ISMSが新規格となり、対応が必要であることを紹介しました。本記事で紹介している書籍はこちらで、以下 ISMS本とします。図解即戦力　ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査計画について書きます。 ※記事公開後、コメントをいただき一部記述を見直しました。ご指摘ありがとうございます。 [04] 情報セキュリティマネジメントシステムとは？情報セキュリ

サイボウズのセキュリテ…

1年前

11
ISO27001:2022 対応日記　計画編

11

サイボウズのセキュリティ室

1年前
フィッシング対策協議会に加盟しました。

2023年6月、フィッシング対策協議会に加盟しました。フィッシング詐欺が横行しており、さまざまなブランドのフィッシングサイトが構築され、被害が出ている状況です。フィッシング対策協議会とはフィッシングに関する情報の収集と提供を行う、またフィッシングに関する注意喚起などの活動を中心とした対策の促進を行っている団体です。メンバーフィッシングの攻撃対象となりうる事業者・団体フィッシングに対する防御手段を提供する事業者など、により構成されています。ワーキンググル

サイボウズのセキュリテ…

1年前

7
フィッシング対策協議会に加盟しました。

7

サイボウズのセキュリティ室

1年前
ISO27001:2022 対応日記　序章

2022 年の改定 ISO27001(ISMS)の規格が2022年に改訂されました。管理策が統合されたり、新たな管理策も追加されています。サイボウズでも ISMS の認証を取得しており、2022年版への移行が必要です。移行期間は 2022年10月31日から 3年以内とされており、2025年10月31日までには、移行審査を完了している必要があります。サイボウズの移行審査時期サイボウズでは、2023年の審査が、再認証審査となっており、ISMS審査が全範囲におよび審査に

サイボウズのセキュリテ…

1年前

22
ISO27001:2022 対応日記　序章

22

サイボウズのセキュリティ室

1年前
「セキュリティ対応組織の教科書　第3.0版」の紹介

2023年2月、日本セキュリティオペレーション事業者協議会 (ISOG-J) より「セキュリティ対応組織の教科書第3.0版」が公開されました。今回はこちらを紹介します。本書について企業内のSOC、CSIRT、内部統制担当、CSO、CISOやそういった方をサポートする方々に向けて書かれたもので、自分たちのセキュリティ組織は何ができていて何が足りないのかを把握して今後の実現方法を示す、実用書のような位置づけです。それぞれの立場に応じて意識すべき観点も記されており、現在

サイボウズのセキュリテ…

1年前

11
「セキュリティ対応組織の教科書　第3.0版」の紹介

11

サイボウズのセキュリティ室

1年前
書籍「小さな企業がすぐにできるセキュリティ入門」の紹介

近年、どのような会社でもセキュリティ対策が求められるようになってきました。背景として、どの業界でもパソコンやスマホを利用した業務が存在し、ITの活用なしに事業を進めることが困難になっていることが挙げられます。しかし、小さな企業は、かけられる手間も少なく、大きなセキュリティ投資がしくにい事情もあると思います。本書では、お金をかけずにできる対策、手間をかけずにできる対策という観点で小さな企業でも、実施すべきセキュリティ対策を難しい専門用語を使わずに解説されています。お金、手

サイボウズのセキュリテ…

1年前

8
書籍「小さな企業がすぐにできるセキュリティ入門」の紹介

8

サイボウズのセキュリティ室

1年前

最近の記事

ISMAP概要（監査編）。ISMAPの監査はどのようになされるか解説します。

ISO27001:2022 対応日記 息抜き編

CSIRT活動における kintone 活用術

海外向けに提供する「kintone」の SOC2 Type2 保証報告書を受領しました。

ISMAP概要（監査編）。ISMAPの監査はどのようになされるか解説します。

ISO27001:2022 対応日記 息抜き編

CSIRT活動における kintone 活用術

海外向けに提供する「kintone」の SOC2 Type2 保証報告書を受領しました。

移行審査に向けた ISMS教育の実施

移行審査に向けた ISMS教育の実施

ISO27001:2022 対応日記 リスクアセスメント後編

ISO27001:2022 対応日記 リスクアセスメント後編

ISO27001:2022 対応日記 リスクアセスメント前編

ISO27001:2022 対応日記 リスクアセスメント前編

ISO27001:2022 対応日記 ドキュメントの修正編

ISO27001:2022 対応日記 ドキュメントの修正編

ISO27001:2022 対応日記 移行計画承認編

ISO27001:2022 対応日記 移行計画承認編

ISO27001:2022 対応日記 リフレッシュ編

ISO27001:2022 対応日記 リフレッシュ編

ISO27001:2022 対応日記 審査編

ISO27001:2022 対応日記 審査編

ISO27001:2022 対応日記 計画編

ISO27001:2022 対応日記 計画編

フィッシング対策協議会に加盟しました。

フィッシング対策協議会に加盟しました。

ISO27001:2022 対応日記 序章

ISO27001:2022 対応日記 序章

「セキュリティ対応組織の教科書 第3.0版」の紹介

「セキュリティ対応組織の教科書 第3.0版」の紹介

書籍「小さな企業がすぐにできるセキュリティ入門」の紹介

書籍「小さな企業がすぐにできるセキュリティ入門」の紹介

ISO27001:2022 対応日記　息抜き編

ISO27001:2022 対応日記　息抜き編

ISO27001:2022 対応日記　リスクアセスメント後編

ISO27001:2022 対応日記　リスクアセスメント後編

ISO27001:2022 対応日記　リスクアセスメント前編

ISO27001:2022 対応日記　リスクアセスメント前編

ISO27001:2022 対応日記　ドキュメントの修正編

ISO27001:2022 対応日記　ドキュメントの修正編

ISO27001:2022 対応日記　移行計画承認編

ISO27001:2022 対応日記　移行計画承認編

ISO27001:2022 対応日記　リフレッシュ編

ISO27001:2022 対応日記　リフレッシュ編

ISO27001:2022 対応日記　審査編

ISO27001:2022 対応日記　審査編

ISO27001:2022 対応日記　計画編

ISO27001:2022 対応日記　計画編

ISO27001:2022 対応日記　序章

ISO27001:2022 対応日記　序章

「セキュリティ対応組織の教科書　第3.0版」の紹介

「セキュリティ対応組織の教科書　第3.0版」の紹介