SaaS CTOセキュリティチェックリスト Ver.3

• CTOが押さえるべきセキュリティの必須事項を項目別に説明

→ 関連して読んでおくとよいリンク、推奨ツール、ヒントなど

• 従業員

→ セキュリティ教育を実施する

→ 2FAを適用する

→ コンピューターの自動ロック

→ アカウント共有を防ぐ

→ 個人のコンピューター/スマートフォンの暗号化 - Jamf, Canonical Landscape

→ オンボーディング / オフボーディングのチェックリスト

→ パスワードマネージャーを使う - dashlane, lastpass, onelogin

→ セキュリティコードレビューのチェックリストを作成・運用する -

→ アカウントの一元管理

→ マルウェア & ウイルス対策ツール - stormshield

→ セキュリティエンジニアを採用する

• コード

→ セキュリティバグを通常のバグと同じように管理する

→ Secretをコードから分離する - envkey, vault, secret-manager

→ Cryptographyは自前で実装せず、ライブラリを使うこと

→ Static Code Analysis Toolを適用する

→ セキュリティ重視のテストセッションを実施する

→ ソフトウェア開発ライフサイクル全体（SDLC）にセキュリティ自動化を導入する

→ ソフトウェアエンジニア向けにセキュリティトレーニングのオンボーディングを行う - safecode, pagerdugy sudo

• アプリケーション

→ 本番製品に対するセキュリティ自動化 - snyk, checkov

→ FaaSセキュリティ

→ Dependencyのトラッキング - snyk, dependabot

→ root以外のアカウントで実行する（unprivileged）

→ リアルタイム保護サービス（Runtime Application Self Protection, RASP）

→ 外部の侵入テストチームを雇う

• インフラストラクチャ

→ バックアップし、リストアをテストし、もう一度バックアップしてみる - tarsnap, quay

→ Webサイトの基本セキュリティテスト - securityheaders, ssllabs

→ Assetをネットワークレベルで隔離する

→ OS & Dockerイメージを最新に保つ - watchtower , spacewalkproject

→ コンテナイメージのセキュリティ自動スキャン - quay, vulerability & image scanning

→ すべてのWebサイト & APIにTLSを適用する

→ すべてのログを一元化し、アーカイブし、意味のあるものにする - loggly, kibana

→ 公開されているサービスを監視する - checkup

→ DDOS攻撃から保護する - fastly, cloudflare, cloudfront

→ 内部サービスへのアクセスをIPで制限する

→ メトリクスの異常パターンを検知する - newrelec , sysdig

• 会社

→ 収集するすべてのデータについて誠実かつ透明であること

→ セキュリティに親しみやすい文化を作る - Security Culture Framework

→ 来訪者とWiFiネットワークを共有しない

→ すべてのサードパーティ主要サービスのセキュリティを確認する - Google Apps/Slack/WordPressなど

→ ドメイン名の保護を確認する - 自動更新やその他のロック機能

→ 公開されたセキュリティポリシーを確認する

→ セキュリティを優先するためのツールを使う

→ セキュリティのスケーリングに備える

→ Bug Bountyプログラムを作る - hackerone, cobalt

→ 会社資産のインベントリを作る

→ 内部セキュリティポリシーを作る

→ ドメインのフィッシング（phishing）に備える

• 製品ユーザー

→ パスワードポリシーを施行する

→ ユーザーの個人情報保護を強化する : ソーシャルエンジニアリングを防ぐ

→ ユーザーに2FAの利用を推奨する。SSOおよびロールベースのアカウント管理 - auth0, okta, WebAuthn

→ ユーザーの異常行動を検知する - castle