国際規格 - ISO 27002:2022 レポート
国際規格 - ISO 27002:2022 のコンプライアンスレポートは、標準の情報セキュリティガイドラインに対するウェブアプリのセキュリティを評価するのに役立ちます。
ISO 27002:2022 について
ISO (International Organization for Standardization) および IEC (International Electrotechnical Commission) は世界標準のための専用体系を形成しています。
ISO または IEC のメンバーである国家機関は、それぞれの組織によって設立された技術委員会を通じて、特定の技術活動分野を扱う国際規格の開発に参加します。
ISO 27002 は、組織における情報セキュリティ管理の開始、実施、維持、改善のためのガイドラインと一般原則を提供します。情報セキュリティを達成するためには、ポリシー、プロセス、手順、組織構造、ソフトウェアおよびハードウェア機能などの一連のコントロールを実施します。これらのコントロールを確立、実施、監視、レビュー、改善して、組織の特定のセキュリティおよびビジネス目標を達成する必要があります。
ISO 27002 は、産業および商業システムに必要な一連のコントロールを特定し、組織のセキュリティ基準を開発し、効果的なセキュリティ管理実践を実施するための単一の参照ポイントとして機能することを意図しています。
対象情報
ISO/IEC 27002:2022 は、ISO/IEC 27001 をサポートする「実践規範」です。要件を設定するものではありません。代わりに、セキュリティコントロールを実施する方法についての詳細なガイダンスを提供します。
コントロールは、4つの広範なテーマにグループ化されています:
- 組織的コントロール
- 人的コントロール
- 物理的コントロール
- 技術的管理
対象となる事業体
すべての企業およびその他の事業体は、標準を採用し、組織内の情報セキュリティ管理を改善するプロセスを開始することが奨励されています。
ISO 27002:2022 脆弱性報告
以下の表は、AppScan Enterprise が評価する特定の ISO 27002:2022 脆弱性グループを一覧にしています。アプリケーションで見つかった脆弱性は、これらの脆弱性グループにマッピングされます。
| ID | 名前 (Name) |
|---|---|
| 管理 5.14 | 組織内および外部のいかなる当事者との間で情報を安全に転送するための規則、手順、または合意が整備されている必要があります。 |
| 管理 5.15 | 情報およびその他の関連資産への物理的および論理的アクセスを制御するための規則は、ビジネスおよび情報セキュリティの要件に基づいて確立され、実施される必要があります。 |
| 管理 5.16 | ユーザーおよびその他の事業体のアイデンティティのライフサイクル全体を管理するためのプロセスが確立され、実施される必要があります。 |
| 管理 5.32 | 記録は、法令、規制、契約、およびビジネス要件に従って、損失、破壊、改ざん、不正アクセス、および不正なリリースから保護される必要があります。 |
| 管理 5.33 | リソースの使用は監視され、調整され、将来の容量要件の予測が行われ、必要なシステムパフォーマンスが得られるようにする必要があります。 |
| 管理 5.34 | 組織は、適用される法律および規制、契約上の義務に従って、個人識別情報 (PII) の保護に関する要件を特定し、満たさなければならない。 |
| Control 8.2 | <uicontrol>特権アクセス権</uicontrol> の割り当てと使用は制限され、管理されなければならない。 |
| Control 8.3 | 情報およびその他の関連資産へのアクセスは、確立されたトピック固有のアクセス制御ポリシーに従って制限されなければならない。 |
| Control 8.4 | ソースコード、開発ツール、およびソフトウェアライブラリへの読み取りおよび書き込みアクセスは、不正な機能の導入を防ぎ、エラーや悪意のあるコードのリスクを軽減するために適切に制限されなければならない。 |
| Control 8.5 | 情報アクセス制限および情報システムの要件に基づいて、<uicontrol>安全な認証技術</uicontrol> および手順が実装されなければならない。 |
| Control 8.7 | <uicontrol>マルウェア</uicontrol> に対する保護のための検出、予防、および回復の制御が実施され、適切なユーザー認識と組み合わされなければならない。 |
| Control 8.8 | 使用中の情報システムの技術的脆弱性に関する情報を取得し、組織のそのような脆弱性への露出を評価し、適切な措置を講じなければならない。 |
| Control 8.9 | ハードウェア、ソフトウェア、サービス、およびネットワークの構成 (セキュリティ構成を含む) は、確立され、文書化され、実装され、監視され、レビューされなければならない。 |
| Control 8.12 | データ漏洩防止策は、機密情報を処理、保存、または送信するシステム、ネットワーク、およびその他のデバイスに適用されなければならない。 |
| Control 8.20 | 接続時間の制限は、アプリケーションおよびシステムの追加のセキュリティを提供するために使用されなければならない。 |
| Control 8.21 | 非アクティブなセッションは、定義された非アクティブ期間後にシャットダウンするべきである。 |
| Control 8.24 | 暗号化の効果的な使用のためのルールは、定義され実施されなければならない。 |
| Control 8.26 | アプリケーションのセキュリティ要件は、関連する情報セキュリティ標準およびポリシーから派生した要件を含め、アプリケーションの開発および取得時に特定され、指定され、承認されなければならない。 |
| Control 8.32 | アイデンティティのライフサイクル全体が管理されなければならない。 |
| Control 8.33 | 認証情報の割り当てと管理は、正式な管理プロセスによって制御されなければならない。 |
| Control 8.34 | 情報およびその他の関連資産へのアクセス権は、関連する要件に従って、定期的に提供、レビュー、および調整されなければならない。 |