SaaS CTO セキュリティチェックリスト [27p PDF]

Webサービスを運営しているなら基本的に確認すべきセキュリティ項目をカテゴリ別にリスト化し、参考文書やサンプルリンクを整理

• 会社全般

• ドメインセキュリティ

• データ収集とGDPR

• 社内で使用中のサードパーティサービスのセキュリティ（Google Apps、Slack、WordPress など）

• 社外向け／社内向けのセキュリティポリシー策定

• バグバウンティプログラムの運用

• セキュリティインシデント対応計画の策定

• コンプライアンス遵守

• 可能な限りすべての箇所で 2FA

• オンボーディング／オフボーディングのチェックリスト

• インフラ

• HTTPS

• 基本的なセキュリティチェック（HSTS、X-Frame-Options、CSP など）

• OS／Dockerイメージ更新の自動化

• 内部サービスへのIPアクセス制限

• ログの集中管理

• サービス監視

• メトリクスベースの異常監視

• 災害時のインフラ再構築手順の整理

• コード

• セキュリティコードレビュー用チェックリストの作成と必須化

• SASTの導入

• Secrets（パスワード、キーなど）の管理

• セキュリティ重視のテストセッション実施

• オンボーディング時のセキュリティ教育実施

• アプリケーション

• 管理者／root ではないアカウントで実行

• サードパーティライブラリの継続的なトラッキング

• RASP（Realtime Application Self Production）の導入

• 外部のペネトレーションテストチームを雇用

• セキュリティ自動化