国際規格 - ISO 27001:2022 レポート
国際規格 - ISO 27001:2022 コンプライアンスレポートは、ISO 27001:2022 情報セキュリティマネジメントシステム (ISMS) フレームワークに対するウェブアプリケーションのセキュリティを評価するのに役立ちます。
ISO 27001:2022について
ISO (International Organization for Standardization) および IEC (International Electrotechnical Commission) は世界標準のための専用体系を形成しています。
ISO または IEC のメンバーである国家機関は、特定の技術活動分野を扱うためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加します。
ISO 27001 は、情報セキュリティマネジメントシステム (ISMS) を確立、実施、運用、監視、レビュー、維持、改善するためのモデルを提供するように設計されています。
ISO 27001 はプロセスアプローチを使用します。この規格で提示されている情報セキュリティ管理のプロセスアプローチは、ユーザーに以下の重要性を強調することを奨励します:
- 組織の情報セキュリティ要件を理解し、情報セキュリティのための方針と目標を確立する必要性。
- 組織の全体的なビジネスリスクの文脈で、組織の情報セキュリティリスクを管理するためのコントロールを実施および運用すること。
- ISMS のパフォーマンスと有効性を監視およびレビューすること。
- 客観的な測定に基づく継続的な改善。
対象となる情報
ISO 27001は、組織の全体的なビジネスリスクの文脈において、文書化されたISMSを確立、実施、運用、監視、レビュー、維持、改善するための要件を規定しています。この標準で定められた要件は一般的なものであり、タイプ、規模、性質に関係なく、すべての組織に適用されることを意図しています。
対象となる組織
ISO 27001はすべての種類の組織を対象としています。すべての企業およびその他の組織は、この標準を採用し、組織内の情報セキュリティ管理を改善するプロセスを開始することが奨励されています。
ISO 27001:2022 脆弱性報告
以下の表は、評価される特定のISO 27001:2022のコントロールを示しています。アプリケーションで見つかった脆弱性は、これらのコントロールにマッピングされます。
| ID | 名前 (Name) |
|---|---|
| コントロール 5.14 | 組織内および外部のいかなる当事者とも情報を安全に転送するための規則、手順、または合意が整備されていること。 |
| コントロール 5.15 | 情報およびその他の関連資産への物理的および論理的アクセスを制御するための規則が、ビジネスおよび情報セキュリティの要件に基づいて確立され、実施されていること。 |
| コントロール 5.16 | ユーザーおよびその他のエンティティのアイデンティティのライフサイクル全体を管理するためのプロセスが確立され、実施されていること。 |
| コントロール 5.32 | 記録は、法令、規制、契約、およびビジネス要件に従って、紛失、破壊、改ざん、不正アクセス、および不正なリリースから保護されなければならない。 |
| Control 5.33 | リソースの使用は監視され、調整され、将来の容量要件の予測が行われ、必要なシステム性能が得られるようにしなければならない。 |
| Control 5.34 | 組織は、適用される法律および規制、契約上の義務に従って、個人識別情報 (PII) の保護に関する要件を特定し、満たさなければならない。 |
| Control 8.2 | 特権アクセス権の割り当てと使用は制限され、管理されなければならない。 |
| Control 8.3 | 情報およびその他の関連資産へのアクセスは、確立されたトピック固有のアクセス制御ポリシーに従って制限されなければならない。 |
| Control 8.4 | ソースコード、開発ツール、およびソフトウェアライブラリへの読み取りおよび書き込みアクセスは、不正な機能の導入を防ぎ、エラーや悪意のあるコードのリスクを軽減するために適切に制限されなければならない。 |
| Control 8.5 | 情報アクセス制限および情報システムの要件に基づいて、安全な認証技術および手順が実装されなければならない。 |
| Control 8.7 | マルウェアから保護するための検出、予防、および回復の制御が実施され、適切なユーザーの認識と組み合わされなければならない。 |
| Control 8.8 | 情報システムの技術的脆弱性に関する情報を取得し、組織のそのような脆弱性への露出を評価し、適切な対策を講じるものとする。 |
| Control 8.9 | ハードウェア、ソフトウェア、サービス、ネットワークの構成(セキュリティ構成を含む)を確立し、文書化し、実装し、監視し、レビューするものとする。 |
| Control 8.12 | データ漏洩防止策を、機密情報を処理、保存、または送信するシステム、ネットワーク、およびその他のデバイスに適用するものとする。 |
| Control 8.20 | 接続時間の制限を使用して、アプリケーションおよびシステムの追加のセキュリティを提供するものとする。 |
| Control 8.21 | 非アクティブなセッションは、定義された非アクティブ期間後にシャットダウンする必要がある。 |
| Control 8.24 | 暗号化の効果的な使用のためのルールを定義し、実装するものとする。 |
| Control 8.26 | アプリケーションのセキュリティ要件は、関連する情報セキュリティ標準およびポリシーから派生した要件を含め、特定し、指定し、承認するものとする。 |
| Control 8.32 | アイデンティティのライフサイクル全体を管理するものとする。 |
| Control 8.33 | 認証情報の割り当てと管理は、正式な管理プロセスによって制御されるものとする。 |
| Control 8.34 | 情報およびその他の関連資産へのアクセス権は、関連する要件に従って定期的に提供、レビュー、および調整されるものとする。 |