Minimum Viable Secure Product 最低限のセキュリティベースライン
MVSPとは、2021年10月27日にGoogle、Salesforce、Okta、Slackなど、ITベンダーが共同で策定したセキュリティベースラインです。 調達、提案依頼書(RFP)、ベンダーのセキュリティ評価プロセスに伴うコスト、複雑性、混乱を排除するために、許容できる最低限のセキュリティベースラインを確立することが狙いです。 そのセキュリティベースラインは、B2Bソフトウェアおよびビジネスプロセスアウトソーシングのサプライヤ向けの最低限のセキュリティチェックリストとして策定されています。
このチェックリストは、シンプルであることを念頭に設計されており、製品のセキュリティ態勢を最低限確保するために実装しなければならないコントロール項目のみが記載されています。 B2Bソフトウェアを開発している企業、または広義の機密情報を取り扱っている企業に対し、少なくとも以下の対策を実施することを推奨します。
このベースラインのコントロールは、今後の中小企業向セキュリティ対策やサプライチェーンセキュリティ評価に、大変参考になります。 また、セキュリティプログラムにおいては、これらの対策以上の対策を実施することを強く推奨します。
<チェックリスト抜粋>
1. Business controls (ビジネスのコントロール)
- 脆弱性レポート
- セキュリティレポートの連絡先をWebサイトに公開すること
- 妥当な時間枠内でセキュリティレポートに対処すること
- 顧客テスト
- 自己評価
- 本文書を使用して、年1回(最低)のセキュリティ自己評価を実施すること
- 外部テスト
- セキュリティベンダーと契約して、システムで毎年包括的なペネトレーションテストを実行すること
- トレーニング
- コンプライアンス
- PCI DSS、HITRUST、ISO27001、SSAE18など、ビジネスに関連するすべての業界セキュリティ標準に準拠すること
- GDPR、拘束力のある企業ルール、標準の契約条項など、会社と顧客に適用される管轄の地域の法律と規制を遵守すること
- インシデントハンドリング
- 発見後72時間以内に、過度の遅延なしに違反について顧客に通知すること
- 通知には次の情報を含めること
- 関連する連絡先
- 違反の予備的なテクニカル分析
- 合理的なタイムラインを備えた修復計画
- データ無害化
2. Application design controls(アプリケーション設計のコントロール)
- シングルサインオン
- HTTPS-only
- コンテンツセキュリティポリシー
- パスワードポリシー
- セキュリティライブラリ
- パッチ適用
- ログ取得
- バックアップおよび災害復旧
3. Application implementation controls (アプリケーション実装のコントロール)
- データのリスト
- データフロー図
- 脆弱性の防止
- 脆弱性を修正する時期
4. Operational controls (運用のコントロール)
- 物理的アクセス
- 論理的アクセス
- サブプロセッサ(サブ処理業者)