23年3月末から勉強時間をガイドライン類の読み込み＆ブログ執筆にあてて7カ月が経ちました。 特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。

ログ取得。 その必要性は分かるものの、何をどこまで取ればいいのか？に悩んだことはないでしょうか。 今回はそれをOMB M-21-31とCISA「Guidance for Implementing M-21-31」から学びます。

NIST CSF 2.0のドラフト版を読みました。

今回は2023年3月に出た米国 国家サイバーセキュリティ戦略を読みます。 「ソフトウェア開発のセキュリティの責任を開発者に押し付けようとしてる！」とか騒がれていた印象だけが残っていたのですが、一通り読んでみました。

前回、EO 14028の第4条を受けて作られたSecure Software Development Framework（SSDF）のnoteを書きました。 今回は、SSDFを適用するための手引きとなるガイダンス「Securing the Software Supply Chain」を読みます。