国際規格 - ISO 27002:2022 レポート
国際規格 - ISO 27002:2022 コンプライアンスレポートは、Web アプリケーションのセキュリティを、この規格の情報セキュリティガイドラインに照らして評価するのに役立ちます。
ISO 27002:2022 について
ISO (国際標準化機構) および IEC (国際電気標準会議) は、世界的な標準化のための専門的なシステムを形成しています。
ISO または IEC の加盟国である各国の機関は、特定の技術活動分野を扱うためにそれぞれの組織によって設置された技術委員会を通じて、国際規格の開発に参加しています。
ISO 27002 は、組織における情報セキュリティ管理の開始、実装、維持、および改善のためのガイドラインと一般原則を提供します。情報セキュリティを実現するために、ポリシー、プロセス、手順、組織構造、およびソフトウェアとハードウェアの機能などの一連の管理策を実装します。組織固有のセキュリティおよびビジネス目標を達成するには、これらの管理策を確立、実装、監視、レビュー、および改善する必要があります。
ISO 27002 は、産業および商業システムに必要なさまざまな管理策を特定し、組織のセキュリティ基準を策定し、効果的なセキュリティ管理慣行を実装するための単一の参照ポイントとして機能することを目的としています。
対象となる情報
ISO/IEC 27002:2022 は、ISO/IEC 27001 をサポートする「実施規範」です。要件を設定するものではありません。代わりに、セキュリティ管理策の実装方法に関する詳細なガイダンスを提供します。
管理策は、次の 4 つの広範なテーマに分類されます。
- 組織的対策
- 人的対策
- 物理的対策
- 技術的対策
対象となるエンティティ
すべての企業およびその他のエンティティは、この規格を採用し、組織内の情報セキュリティ管理を改善するプロセスを開始することが推奨されます。
ISO 27002:2022 レポートの脆弱性
次の表は、AppScan Enterprise が評価する特定の ISO 27002:2022 脆弱性グループの一覧です。アプリケーションで見つかった脆弱性は、これらの脆弱性グループにマッピングされます。
| ID | 名前 |
|---|---|
| Control 5.14 | 組織内および外部関係者との安全な情報転送のためのルール、手順、または合意を設けるものとします。 |
| Control 5.15 | 情報およびその他の関連資産への物理的および論理的アクセスを制御するルールは、ビジネスおよび情報セキュリティの要件に基づいて確立および実装されるものとします。 |
| Control 5.16 | ユーザーおよびその他のエンティティの ID のライフサイクル全体を管理するためのプロセスを確立および実装するものとします。 |
| Control 5.32 | 記録は、法令、規制、契約、およびビジネス上の要件に従って、損失、破壊、改ざん、不正アクセス、および不正流出から保護されるものとします。 |
| Control 5.33 | 必要なシステムパフォーマンスが得られるように、リソースの使用状況を監視、調整し、将来の容量要件の予測を行う必要があります。 |
| Control 5.34 | 組織は、適用される法律、規制、および契約上の義務に従って、個人識別情報 (PII) の保護に関する要件を特定し、満たすものとします。 |
| Control 8.2 | 特権アクセス権の割り当てと使用は制限および管理されるものとします。 |
| Control 8.3 | 情報およびその他の関連資産へのアクセスは、確立されたトピック固有のアクセス制御ポリシーに従って制限されるものとします。 |
| Control 8.4 | 不正な機能の導入を防ぎ、エラーや悪意のあるコードのリスクを軽減するために、ソースコード、開発ツール、およびソフトウェアライブラリへの読み取りおよび書き込みアクセスを適切に制限するものとします。 |
| Control 8.5 | 情報のアクセス制限と情報システムの要件に基づいて、安全な認証技術と手順を実装するものとします。 |
| Control 8.7 | マルウェアから保護するための検出、防止、および回復の管理策を、適切なユーザー認識と組み合わせて実装するものとします。 |
| Control 8.8 | 使用中の情報システムの技術的な脆弱性に関する情報を入手し、そのような脆弱性に対する組織のエクスポージャーを評価し、適切な対策を講じるものとします。 |
| Control 8.9 | ハードウェア、ソフトウェア、サービス、およびネットワークの構成(セキュリティ構成を含む)を確立、文書化、実装、監視、およびレビューするものとします。 |
| Control 8.12 | 機密情報を処理、保存、または送信するシステム、ネットワーク、およびその他のデバイスに、データ漏洩防止対策を適用するものとします。 |
| Control 8.20 | アプリケーションとシステムのセキュリティを強化するために、接続時間の制限を使用するものとします。 |
| Control 8.21 | 非アクティブなセッションは、定義された非アクティブ期間の後にシャットダウンする必要があります。 |
| Control 8.24 | 暗号化の効果的な使用に関するルールを定義し、実装するものとします。 |
| Control 8.26 | 関連する情報セキュリティ基準およびポリシーから派生した要件を含むアプリケーションのセキュリティ要件は、アプリケーションの開発および取得時に特定、指定、および承認されるものとします。 |
| Control 8.32 | ID のライフサイクル全体を管理するものとします。 |
| Control 8.33 | 認証情報の割り当てと管理は、正式な管理プロセスによって制御されるものとします。 |
| Control 8.34 | 情報およびその他の関連資産へのアクセス権は、関連する要件に従って、定期的にプロビジョニング、レビュー、および調整されるものとします。 |