最近ライトなテーマが続きました。 今回はセキュリティマネージャが本領発揮する「セキュリティ戦略策定」について書きます。

突然ですが、今回は中途採用の面接官目線の話を書きます。 私は事業会社のセキュリティマネージャとして新しい仲間を増やすべく、どうすればより良い採用に繋げられるのか日々めちゃくちゃ悩んで試行錯誤しています。 この記事を書くにあたり、人事や採用の…

前回の記事で、セキュリティマネージャとして「ソフトスキル、コンピテンシ、性質」が重要と書きました。 「ソフトスキルやコンピテンシ」とは、課題の把握力、解決までの方向性の決め方、段取り力、コミュニケーション力、プレゼン力など様々です。 「性質…

Xでセキュリティのキャリアについて何名かの方とやりとりする機会があったので、私が名乗っている「セキュリティマネージャ」とは何なのか。を書いてみることにしました。

10月30日にバイデン大統領の126個目の大統領令EO14110が出ました。 タイトルは「Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence」 AI時代に米国がどう向き合おうとしているのか、読んでみました。

2023年もあと少しとなりました。 今回は気分転換のネタとして、年初に各セキュリティベンダや団体が出していた「2023年セキュリティ予想」でどういったことが予想されていて、結果的にどうだったかを振り返ります。

NISTからフィッシング訓練に関するドキュメントが出たので読んでみました。

クラウドやコンテナが一般化した中、直接的に管理する機会が減りつつあるハイパーバイザーの存在ですが、そもそもどんなセキュリティの論点があるのか調べてみました。

IPA 10大脅威において近年不動の1位のランサムウェア。 私のブログでも半田病院や大阪急性期・総合医療センターのインシデント報告書をまとめたように、重要インフラを含む様々な企業が被害を受けています。 そんなランサムウェアに対抗するためのガイド「#S…

23年11月にESFからSBOMに関するガイダンス「 Securing the Software Supply Chain: Recommended Practices for Software Bill of Materials Consumption」が出ました。 今回はSBOMを受け取るカスタマー側の目線からお勉強します。

セキュリティ対応組織作りに深く関わる立場にいながら、何故か「セキュリティ対応組織の教科書」は未読だったので読んでみました。 日本語だし、元々平易な表現でまとまっているのですが、自分の勉強メモとして要点抽出しておきます。

CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます)

23年3月末から勉強時間をガイドライン類の読み込み＆ブログ執筆にあてて7カ月が経ちました。 特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。

ログ取得。 その必要性は分かるものの、何をどこまで取ればいいのか？に悩んだことはないでしょうか。 今回はそれをOMB M-21-31とCISA「Guidance for Implementing M-21-31」から学びます。

NIST CSF 2.0のドラフト版を読みました。

今回は2023年3月に出た米国 国家サイバーセキュリティ戦略を読みます。 「ソフトウェア開発のセキュリティの責任を開発者に押し付けようとしてる！」とか騒がれていた印象だけが残っていたのですが、一通り読んでみました。

前回、EO 14028の第4条を受けて作られたSecure Software Development Framework（SSDF）のnoteを書きました。 今回は、SSDFを適用するための手引きとなるガイダンス「Securing the Software Supply Chain」を読みます。

これまでに書いた記事の一覧です。 複数回に分けた記事は「その1」へのリンクのみ貼ります。