WG月次活動報告アーカイブス

過去のWG月例活動報告は、こちらにアーカイブします。

2024年8月活動状況

• CCM　WG:
  • CCM V4 Implementation Guidance の翻訳作業中。
• ゼロトラストWG：
  • デジタル庁のガイドラインをCCMから突っ込むことを検討中。
• 翻訳WG：
  • Top Threats to Cloud Computing: Pandemic 11 Deep Diveの翻訳を進めている。ペンディング中。
  • ガイダンスV5の翻訳中。
  • ISC2の用語集を「フレーズ」の用語登録done。作業は継続中。
  • 生成AIの機械翻訳作業中。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • ガイダンスの解説　V4で作成して、その後V5に取り掛かる予定（翻訳後）。V4とV5の差分比較をして出す予定。
  • 生成AI（Copilotとか）におけるセキュリティ運用（レスポンス等）を検討中。
  • 技術書典での出展について　V5ベースで冊子を作るということで検討中。申し込み済。電子データでの提供のみを予定。
  • 講演。マイナビ終了(7/24)。講演内容を記事化も完了。
• CASB WG
  •  以下の内容ディスカッションを実施。
    • SaaS運用における最新脅威の共有と分析
    • SaaSセキュリティ関連本部資料の共有
    • SaaS運用管理に関するディスカッション
      →CCM/CAIQなどでAI（SaaSの裏で動いているAI）に関する調査・確認項目の必要性について議論。

• プライバシWG:
  • CoC Ver1.2分担は完了。リリース目標12月ごろを予定。Summit で発表予定。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
  • 個人情報保護法の改正のパブコメは、含めない方向で検討中。
• 健康医療情報管理 WG：
  • AI in healthcare V2の作成中。9月までに出す予定。
• DevSecOps／サーバーレスWG:
  • ブログ「コンテナ／マイクロサービス／サーバーレスセキュリティとDevSecOps(技術編) (前編)」 8月公開済。後編は9月アップ予定。
  • 第6回 関西クラウドネイティブセキュリティ・ワークショップ「コンテナ／マイクロサービス／サーバーレスセキュリティとDevSecOps（技術編）」　9/24開催
  • OWASP関西支部イベント9/21。参加予定。
  • ISACA東京支部　勉強会講師「コンテナ／マイクロサービス／サーバーレスセキュリティとDevSecOps」。9月26日開催予定。これに合わせて資料を作成中。ガイダンス8章、10章をPPTにまとめているので共有可能。
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    • ５社。
    • あと、Fileforce、Fortinetは状況待ち。
  • STAR Registryの真のマルチリンガル化をCSA本部と進める。
  • CSPM,CNAPP,CWPPの解説ブログを作成中。
  • 自動化について全般的な方向性を検討中。
• AIWG：
  • AI Organization Responsibilities – Core Security Responsibilities　の翻訳版公開済。
  • AI Resilience: A Revolutionary Benchmarking Model for AI Safetyの翻訳作業中。
  • Principles to Practice – Responsible AI in a Dynamic Regulatory Environment の翻訳準備中。
• CCAKWG：
  • 輪講継続中。
• ガイダンスWG
  • V5の翻訳を実施中。

2024年7月活動状況

• CCM　WG:
  • CCM V4 Implementation Guide の翻訳を開始。
• ゼロトラストWG：
  • デジタル庁のガイドラインをCCMから突っ込むことを検討中。
• 翻訳WG：
  • Top Threats to Cloud Computing: Pandemic 11 Deep Diveの翻訳を進めている。
  • ISC2の用語集をDeepLに用語登録する方法の検討を進めている。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • ガイダンスの解説　V4で作成して、その後V5に取り掛かる予定（翻訳後）。
  • 生成AI（Copilotとか）におけるセキュリティ運用（レスポンス等）を検討中。
  • 技術書典での出展について　V5ベースで冊子を作るということで検討中。
  • 講演。マイナビ終了(7/24)。講演内容を記事化する予定。
• CASB WG
  •  以下の内容ディスカッションを実施。
    • SaaS運用における最新脅威の共有と分析
    • SaaSセキュリティ関連本部資料の共有
    • SaaS運用管理に関するディスカッション
      →CCM/CAIQなどでAI（SaaSの裏で動いているAI）に関する調査・確認項目の必要性について議論。

• プライバシWG:
  • CoC Ver1.2分担は完了。5月活動開始。リリース目標は12月ごろを予定。Summit で発表予定。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
  • 個人情報保護法の改正のパブコメ終了。4～5月に最終改正案が出るのでは？これを反映させる。
• 健康医療情報管理 WG：
  • AI in healthcare V2の作成中。9月までに出す予定。
• DevSecOps／サーバーレスWG:
  • ブログ「コンテナ／マイクロサービス／サーバーレスセキュリティとDevSecOps(組織編) (後編)」 7/16公開
  • 第5回 関西クラウドネイティブセキュリティ・ワークショップ「コンテナ／マイクロサービス／サーバーレスセキュリティとDevSecOps（組織編）」　7/24開催
  • OWASP関西支部イベント9/21。参加予定。
  • ブログ「コンテナ／マイクロサービス／サーバーレスセキュリティとDevSecOps(技術編)」8月公開予定
  • 9/24　技術編のワークショップ予定
  • ISACA東京支部　勉強会講師「コンテナ／マイクロサービス／サーバーレスセキュリティとDevSecOps」
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    • ５社。
    • あと、Fileforce、Fortinetは状況待ち。
  • STAR Registryの真のマルチリンガル化をCSA本部と進める。
• AIWG：
  • AI Organization Responsibilities – Core Security Responsibilitiesの翻訳中。
• CCAKWG：
  • 輪講継続中。
• ガイダンスWG
  • 活動再開。翻訳を検討中。

2024年6月活動状況

• CCM　WG:
  • CCM V4 Implementation Guide の翻訳を開始。
• ゼロトラストWG：
  • デジタル庁のガイドラインをCCMから突っ込むことを検討中。
• 翻訳WG：
  • Top Threats to Cloud Computing: Pandemic 11 Deep Diveの翻訳を進めている。
  • ISC2の用語集をDeepLに用語登録する方法の検討を進めている。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • ガイダンスの解説　各ドメインのマージ版の作成完了。現在、公開に向けて作業中。5月上旬に完成目処。
  • 今後の活動テーマネタ
    • SBOMにフォーカスしたサプライチェーンリスクに関するセキュリティ運用
    • 生成AI（Copilotとか）をどうセキュリティ運用（レスポンス等）に組み込んでいくか・いけるか
    • (仮にガイダンス5.0が出るとしたら)4.0との比較を含めたガイダンス5.0の解説
  • 技術書典での出展。無料配布の方向で検討中。
• CASB WG
  •  以下の内容ディスカッションを実施。
    • SaaS運用における最新脅威の共有と分析
    • SaaSセキュリティ関連本部資料の共有
    • SaaS運用管理に関するディスカッション
      →CCM/CAIQなどでAI（SaaSの裏で動いているAI）に関する調査・確認項目の必要性について議論。

• プライバシWG:
  • CoC Ver1.2分担は完了。5月活動開始。リリース目標は12月ごろを予定。Summit で発表予定。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
  • 個人情報保護法の改正のパブコメ終了。4～5月に最終改正案が出るのでは？これを反映させる。
• 健康医療情報管理 WG：
  • AI in healthcare V2の作成中。9月までに出す予定。
• DevSecOps／サーバーレスWG:
  • 2024年6月以降、年3回ペースで、CSA関西・DevSecOps／サーバーレスWG公開ワークショップを開催する計画を策定中
  • OWASPと連携を模索。DevSecOpsガイドラインをベース。
  • ブログ「コンテナ／マイクロサービス／サーバーレスセキュリティとDevSecOps(組織編) (前編)」6/26公開
  • ワークショップ　7/24予定
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    • ５社。
    • あと、Fileforce、Fortinetは状況待ち。
  • STAR Registryの真のマルチリンガル化をCSA本部と進める。
• AIWG：
  • AI Organization Responsibilities – Core Security Responsibilitiesの翻訳を開始。
• CCAKWG：
  • 輪講継続中。

2024年5月活動状況

• CCM　WG:
  • Auditor Guidanceの翻訳、最終レビュー中。近日公開。
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • 用語定義について検討中。CCM内で使用している用語について確定する。
• ゼロトラストWG：
  • デジタル庁のガイドラインをCCMから突っ込むことを検討中。
• 翻訳WG：
  • Top Threats to Cloud Computing: Pandemic 11 Deep Diveの翻訳を進めている。
  • Defining Shadow Access: The Emerging IAM Security Challenge 日本語版公開。
  • ISC2の用語集をDeepLに用語登録する方法の検討を進めている。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • ガイダンスの解説　各ドメインのマージ版の作成完了。現在、公開に向けて作業中。5月上旬に完成目処。
  • 今後の活動テーマネタ
    • SBOMにフォーカスしたサプライチェーンリスクに関するセキュリティ運用
    • 生成AI（Copilotとか）をどうセキュリティ運用（レスポンス等）に組み込んでいくか・いけるか
    • (仮にガイダンス5.0が出るとしたら)4.0との比較を含めたガイダンス5.0の解説
  • 技術書典での出展。無料配布の方向で検討中。
• CASB WG
  •  SaaS関連のインシデントをブログのために取りまとめて中。以下の内容を含む。
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 今後の方向性について議論し、以下の項目を並行して進めていく予定。特に③がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。

• プライバシWG:
  • CoC Ver1.2分担は完了。5月活動開始。リリース目標は12月ごろを予定。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
  • 個人情報保護法の改正のパブコメ終了。4～5月に最終改正案が出るのでは？これを反映させる。
• 健康医療情報管理 WG：
  • ブログ「医療／ライフサイエンスにおけるDevSecOps (後編)」5月中リリース予定
  • ワークショップ　6月にリアルで実施予定。テーマはDevSecOps
• DevSecOps／サーバーレスWG:
  •  2024年6月以降、年3回ペースで、CSA関西・DevSecOps／サーバーレスWG公開ワークショップを開催する計画を策定中
  • OWASPと連携を模索。DevSecOpsガイドラインをベース。
• クラウドセキュリティ自動化WG：
  • 5社登録済。
  • あと、Fileforce、Fortinetは状況待ち。
• AIWG：
  • AI Organization Responsibilities – Core Security Responsibilitiesのスタディを実施中。
• CCAKWG：
  • 5/16　キックオフミーティング実施。27名参加、割り当ての確定等を実施。これから隔週で輪講を進める。

2024年4月活動状況

• CCM　WG:
  • Auditor Guidanceの翻訳、最終レビュー中。近日公開。
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • 用語定義について検討中。CCM内で使用している用語について確定する。
• ゼロトラストWG：
  • デジタル庁のガイドラインをCCMから突っ込むことを検討中。
  • 「ゼロトラスト・保護サーフェスの定義」の翻訳 4/14リリース
• 翻訳WG：
  • Top Threats to Cloud Computing: Pandemic 11 Deep Diveの翻訳を進めている。
  • Defining Shadow Access: The Emerging IAM Security Challenge 翻訳作業中。まもなく公開予定。
  • ISC2の用語集をDeepLに用語登録する方法の検討を進めている。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • ガイダンスの解説　各ドメインのマージ版の作成完了。現在、公開に向けて作業中。5月上旬に完成目処。
  • 今後の活動テーマネタ
    • SBOMにフォーカスしたサプライチェーンリスクに関するセキュリティ運用
    • 生成AI（Copilotとか）をどうセキュリティ運用（レスポンス等）に組み込んでいくか・いけるか
    • (仮にガイダンス5.0が出るとしたら)4.0との比較を含めたガイダンス5.0の解説
  • 技術書典での出展。無料配布の方向で検討中。
• CASB WG
  •  SaaS関連のインシデントをブログのために取りまとめて中。以下の内容を含む。
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 今後の方向性について議論し、以下の項目を並行して進めていく予定。特に③がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。

• プライバシWG:
  • CoC Ver1.2分担は完了。5月活動開始。リリース目標は12月ごろを予定。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
  • 個人情報保護法の改正のパブコメ終了。4～5月に最終改正案が出るのでは？これを反映させる。
• 健康医療情報管理 WG：
  • ブログ「医療／ライフサイエンスにおけるハードウェア対応型セキュリティ」（後編）　公開済
  • 2024年4月1週開催：第15回CSA関西・健康医療WG公開ワークショップ「医療／ライフサイエンスにおけるハードウェア対応型セキュリティ」
    • マクニカ様とHSM（オンプレミス／＆クラウド）関連講演
  • ファーマIT&デジタルヘルス エキスポ 2024
    （CSAジャパン後援イベント）
    開催日：2024年4月17日-19日
    出展ブース（予定）：48-27
    展示内容：
    CSA関西・健康医療WG公開ワークショップの講演資料等をサマリー化して、イベント参加者に配布する
    ）
• DevSecOps／サーバーレスWG:
  •  2024年6月以降、年3回ペースで、CSA関西・DevSecOps／サーバーレスWG公開ワークショップを開催する計画を策定中
  • OWASPと連携を模索。DevSecOpsガイドラインをベース。
• クラウドセキュリティ自動化WG：
  • Servicenow様が日本語CAIQ評価レポートをSTAR Registryに登録。4社目。
  • あと、Fileforce、Fortinetは状況待ち。
• AIWG：
  • AI Organization Responsibilities – Core Security Responsibilitiesのスタディを実施中。

2024年3月活動状況

• CCM　WG:
  • Auditor Guidanceの翻訳、最終レビュー中。近日公開。
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • 用語定義について検討中。CCM内で使用している用語について確定する。
• ゼロトラストWG：
  • デジタル庁のガイドラインをCCMから突っ込むことを検討中。
• 翻訳WG：
  • Top Threats to Cloud Computing: Pandemic 11 Deep Diveの翻訳を進めている。
  • 「Beyond Passwords: The Role of Passkeys in Modern Web Security」の翻訳、公開済み。
  • Defining Shadow Access: The Emerging IAM Security Challenge 翻訳作業中。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • ガイダンスの解説　各ドメインのマージ版の作成完了。現在、公開に向けて作業中。4月上旬に完成目処。
  • 今後の活動テーマネタ
    • SBOMにフォーカスしたサプライチェーンリスクに関するセキュリティ運用
    • 生成AI（Copilotとか）をどうセキュリティ運用（レスポンス等）に組み込んでいくか・いけるか
    • (仮にガイダンス5.0が出るとしたら)4.0との比較を含めたガイダンス5.0の解説
  • 技術書典での出展。無料配布の方向で検討中。
• CASB WG:
  • SaaS関連のインシデントをブログのために取りまとめており、2月にWGで共有・ディスカッションを予定
  •  今後の方向性について議論し、以下の項目を並行して進めていく予定。特に三番目がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。
    • WG名の変更（WG名と活動内容が少しずれてきているため）→SaaS Security WGに名称を変更したい
    • SaaSの利用状況に関する事例の収集（アンケートなど）
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 以下の内容を纏めてブログ、勉強会での発表を行うため、情報収集を実施中です。
    • SaaS運用における脅威分析の実施
    • SaaSを狙った、SaaS経由で発生したインシデントの調査、MITRE ATT&CKとの組み合わせによる攻撃解説それに向けた対策などを攻撃経路ごとに纏めていく予定。

• プライバシWG:
  • CoC Ver1.2分担は完了。各自執筆中。来年5月以降リリース目標。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
  • 個人情報保護法の改正のパブコメ終了。4～5月に最終改正案が出るのでは？これを反映させる。
• 健康医療情報管理 WG：
  • 2024年3月：ブログ「医療／ライフサイエンスにおけるハードウェア対応型セキュリティ」（後編）　公開済
  • 2024年4月1週開催：第15回CSA関西・健康医療WG公開ワークショップ「医療／ライフサイエンスにおけるハードウェア対応型セキュリティ」
    • マクニカ様とHSM（オンプレミス／＆クラウド）関連講演で調整中
  • ファーマIT&デジタルヘルス エキスポ 2024
    （CSAジャパン後援イベント）
    開催日（予定）：2024年4月17日-19日
    出展ブース（予定）：48-27
    展示内容：
    （案）CSA関西・健康医療WG公開ワークショップの講演資料等をサマリー化して、イベント参加者に配布する
    ）
• DevSecOps／サーバーレスWG:
  •  2024年6月以降、年3回ペースで、CSA関西・DevSecOps／サーバーレスWG公開ワークショップを開催する計画を策定中
• クラウドセキュリティ自動化WG：
  • Kii株式会社様が日本語CAIQ評価レポートをSTAR Registryに登録。4社目。
  • あと、Servicenow、Fileforce、Fortinetは状況待ち。
• AIWG：
  • AI Organization Responsibilities – Core Security Responsibilitiesのスタディを実施中。

2024年2月活動状況

• CCM　WG:
  • Auditor Guidanceの翻訳、最終レビュー中。近日公開。
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • 用語定義について検討中。CCM内で使用している用語について確定する。
• ゼロトラストWG：
  •  デジタル庁のガイドラインをCCMから突っ込む。28日に持ち寄って検討。
• 翻訳WG：
  • Top Threats to Cloud Computing: Pandemic 11 Deep Diveの翻訳を進めている。
  • 「Beyond Passwords: The Role of Passkeys in Modern Web Security」の翻訳。。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • ガイダンスの解説　順調に対応中
  • ガイダンスの解説は新フォーマットで作成するため、並行してすすめる。
  • Well-Arch の解説セミナー。要検討。
  • 技術書典：　個人で出版したものを持ち込むという案。やるかどうかは未定。
  • セミナー：　OSINT周り。要検討。
  • ZDnet　データセキュリティカンファレンス基調講演。3月中旬にオンライン配信予定。CSA、デジタル庁のキャップ。
• CASB WG:
  • SaaS関連のインシデントをブログのために取りまとめており、2月にWGで共有・ディスカッションを予定
  •  今後の方向性について議論し、以下の項目を並行して進めていく予定。特に三番目がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。
    • WG名の変更（WG名と活動内容が少しずれてきているため）→SaaS Security WGに名称を変更したい
    • SaaSの利用状況に関する事例の収集（アンケートなど）
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 以下の内容を纏めてブログ、勉強会での発表を行うため、情報収集を実施中です。
    • SaaS運用における脅威分析の実施
    • SaaSを狙った、SaaS経由で発生したインシデントの調査、MITRE ATT&CKとの組み合わせによる攻撃解説それに向けた対策などを攻撃経路ごとに纏めていく予定。

• プライバシWG:
  • CoC Ver1.2分担は完了。各自執筆中。来年5月以降リリース目標。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
  • 個人情報保護法の改正のパブコメ終了。4～5月に最終改正案が出るのでは？これを反映させる。
• 健康医療情報管理 WG：
  • 2024年2月13日：ブログ「医療／ライフサイエンスにおけるハードウェア対応型セキュリティ」（前編）
    https://cloudsecurityalliance.jp/newblog/2024/02/13/hms/
  • 2024年3月予定：ブログ「医療／ライフサイエンスにおけるハードウェア対応型セキュリティ」（後編）
  • 2024年3月 or 4月1週予定：第15回CSA関西・健康医療WG公開ワークショップ「医療／ライフサイエンスにおけるハードウェア対応型セキュリティ」
    *タレス様とHSM（オンプレミス／＆クラウド）関連講演で調整中
  • 2024年3月予定：ブログ「医療／ライフサイエンスにおけるDevSecOps」（前編）
  • ファーマIT&デジタルヘルス エキスポ 2024
    （CSAジャパン後援イベント）
    開催日（予定）：2024年4月17日-19日
    出展ブース（予定）：48-27
    展示内容：
    （案）CSA関西・健康医療WG公開ワークショップの講演資料等をサマリー化して、イベント参加者に配布する
    ）
• DevSecOps／サーバーレスWG:
  •  2024年6月以降、年3回ペースで、CSA関西・DevSecOps／サーバーレスWG公開ワークショップを開催する計画を策定中
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    • Servicenow、Fileforce。Fortinetは状況待ち。
• AIWG：
  • Security Implications of ChatGPT　翻訳版のスタディを実施中。

2024年1月活動状況

• CCM　WG:
  •  “STAR Attestation Value Proposition”の翻訳版公開。（12/24）。
  • Auditor Guidanceの翻訳、最終レビュー中。近日公開。
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • 用語定義について検討中。CCM内で使用している用語について確定する。
• ゼロトラストWG：
  • 前回検討していました教育情報システムにおけるリスクアセスメントを断念し、改めてのテーマの洗い出しを開始。
  • 次回（1/25の18時）のWGでテーマを持ち寄り議論予定。
• 翻訳WG：
  • Top Threats to Cloud Computing: Pandemic 11 Deep Diveの翻訳を進めている。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • WGセミナー「DevSecOpsのFundamentalsとCSAによるユースケースの解説で課題解決」開催(1/25)。
  • クラウドセキュリティWGという名称についてディスカッション中。
• CASB WG:
  • SaaS関連のインシデントをブログのために取りまとめており、2月にWGで共有・ディスカッションを予定
  •  今後の方向性について議論し、以下の項目を並行して進めていく予定。特に三番目がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。
    • WG名の変更（WG名と活動内容が少しずれてきているため）→SaaS Security WGに名称を変更したい
    • SaaSの利用状況に関する事例の収集（アンケートなど）
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 以下の内容を纏めてブログ、勉強会での発表を行うため、情報収集を実施中です。
    • SaaS運用における脅威分析の実施
    • SaaSを狙った、SaaS経由で発生したインシデントの調査、MITRE ATT&CKとの組み合わせによる攻撃解説それに向けた対策などを攻撃経路ごとに纏めていく予定。

• プライバシWG:
  • CoC Ver1.2分担は完了。各自執筆中。来年5月以降リリース目標。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
  • 個人情報保護法の改正のパブコメ終了。4～5月に最終改正案が出るのでは？これを反映させる。
• 健康医療情報管理 WG：
  • 2024年1月10日：ブログ「医療／ライフサイエンスにおけるデータ損失防止(DLP)(後編)」公開
    https://cloudsecurityalliance.jp/newblog/2024/01/10/dlp_in_healthcare_2/
  • 2024年1月23日：第15回CSA関西・健康医療WG公開ワークショップ「医療／ライフサイエンスにおけるデータ損失防止(DLP)」開催
    https://www.cloudsecurityalliance.jp/site/?page_id=31134
  • 2024年2月予定：ブログ「医療／ライフサイエンスにおけるハードウェア対応型セキュリティ」
  • 2024年3月予定：第15回CSA関西・健康医療WG公開ワークショップ「医療／ライフサイエンスにおけるハードウェア対応型セキュリティ」
  • ファーマIT&デジタルヘルス エキスポ 2024
    （CSAジャパン後援イベント）
    開催日（予定）：2024年4月17日-19日
    出展ブース（予定）：48-27
    展示内容：
    （案）CSA関西・健康医療WG公開ワークショップの講演資料等をサマリー化して、イベント参加者に配布する
    ）
• DevSecOps／サーバーレスWG:
  • 2024年1月の活動は特になし
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    • Servicenow、Fileforce。Fortinetは状況待ち。DataDogは公開しないこととなった（翻訳作業に見合うだけの効果が見込めないとのこと）。
  • 日本語CAIQの利用方法についてWGセミナーの開催予定(2/13)。
• AIWG：
  • Security Implications of ChatGPT　翻訳版のスタディを実施中。

2023年12月活動状況

• CCM　WG:
  •  “STAR Attestation Value Proposition”の翻訳版公開。（12/24）。
  • Auditor Guidanceの翻訳、最終レビュー中。近日公開。
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • 用語定義について検討中。CCM内で使用している用語について確定する。
• ゼロトラストWG：
  • 総務省ガイドライン向けのリスクアセスメント手法を活用して行うことに対してCSA Japanとして発行することへの異議意見が出され、１月９日の運営委員会で審議を図ることになった。
• 翻訳WG：
  •  Top-Threats-to-Cloud-Computing-Pandemic 11-Deep-Diveのレビュー用和訳版（機械翻訳＆ポストエディット）を作成中。
    レビューに参加いただける方は、数名立候補頂いている。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • ガイダンスの解説　順調に対応中
  • CSA-JCの16*9のPPTXテンプレート　12/17 釜山にてドラフト作成。ガイダンスの解説は新フォーマットで作成するため、並行してすすめる。
  • クラウドセキュリティWGという名称についてディスカッション中。
• CASB WG:
  • 今後の方向性について議論し、以下の項目を並行して進めていく予定。特に三番目がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。
    • WG名の変更（WG名と活動内容が少しずれてきているため）→SaaS Security WGに名称を変更したい
    • SaaSの利用状況に関する事例の収集（アンケートなど）
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 以下の内容を纏めてブログ、勉強会での発表を行うため、情報収集を実施中です。
    • SaaS運用における脅威分析の実施
    • SaaSを狙った、SaaS経由で発生したインシデントの調査、MITRE ATT&CKとの組み合わせによる攻撃解説それに向けた対策などを攻撃経路ごとに纏めていく予定。

• プライバシWG:
  • CoC Ver1.2分担は完了。各自執筆中。来年5月以降リリース目標。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
  • 個人情報保護法の改正のパブコメ終了。4～5月に最終改正案が出るのでは？これを反映させる。
• 健康医療情報管理 WG：
  • 2023年12月17日：ブログ「医療／ライフサイエンスにおけるデータ損失防止(DLP)(前編)」公開
  • 2024年1月上旬：ブログ「医療／ライフサイエンスにおけるデータ損失防止(DLP)(後編)」公開予定
  • 2024年1月23日：第15回CSA関西・健康医療WG公開ワークショップ「医療／ライフサイエンスにおけるデータ損失防止(DLP)」開催予定
  • CSA Health Information Management WG: 2023年12月の活動は特になし
    次回ミーティング　2024年2月1日 04:30am-05:30am 予定（オンライン）
• DevSecOps／サーバーレスWG:
  • 2023年12月5日「安全なサーバーレスアーキテクチャを設計するには」公開
  • CSA DevSecOps WG:
    2023年12月の活動は特になし
    ＊Zero Trust WG、AI WGとの連携は進行中
  • CSA Serverless WG:
    2023年12月の活動は特になし
    2024年第1四半期より新Co-Chairのもとで活動再開予定
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    SalesForceが日本語CAIQレポートを公開したが、公開の仕方について対応中。
    あと、Servicenow、Fileforce。Fortinetは状況待ち。
  • 日本語CAIQの利用方法についてWGセミナーの開催を計画中。2月になる予定。
• AIWG：
  • Security Implications of ChatGPT　翻訳版のスタディを実施中。
  • WGセミナー「Microsoft Security Copilotの説明（仮題）」を12/19（火）実施済。

2023年11月活動状況

• CCM　WG:
  • CCM V4.0.10およびImplementation Guidelines/Auditing Guidelinacesの日本語版公開。
  • Auditor Guidanceの翻訳、最終レビュー中。近日公開。
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • 用語定義について検討中。CCM内で使用している用語について確定する。
• ゼロトラストWG：
  • 村山先生のセミナーを11月17日（金）18:30実施。
• 翻訳WG：
  • The Six Pillars of DevSecOps Achieving Reflexive Security Throughの翻訳公開。
  • Top Threats to Cloud Computing: Pandemic 11 Deep Diveの翻訳を進めている。
• IoT WG:
  • 現在、作業休止中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。早急に公開予定。
  • ガイダンスの解説について、方針決定。各ドメインの解説を作っていく予定。2月～3月くらいに完成予定。
  • 以下検討中
    • DevSecOps解説セミナー：　当面無理。
    • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。
• CASB WG:
  • 今後の方向性について議論し、以下の項目を並行して進めていく予定。特に三番目がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。
    • WG名の変更（WG名と活動内容が少しずれてきているため）→SaaS Security WGに名称を変更したい
    • SaaSの利用状況に関する事例の収集（アンケートなど）
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 以下の内容を纏めてブログ、勉強会での発表を行うため、情報収集を実施中です。
    • SaaS運用における脅威分析の実施
    • SaaSを狙った、SaaS経由で発生したインシデントの調査、MITRE ATT&CKとの組み合わせによる攻撃解説それに向けた対策などを攻撃経路ごとに纏めていく予定。

• プライバシWG:
  • CoC Ver1.2分担は完了。各自執筆中。来年5月リリース目標。
  • Appendixとして、生成AIとプライバシー。
  • GDPRの罰金もAppendixとして含める予定。
• 健康医療情報管理 WG：
  • 2023年11月7日　ブログ「ゼロトラストアーキテクチャにおける医療機器とSBOM（後編）」公開
  • 2023年11月14日 CSA関西支部共催オンラインワークショップ「ゼロトラストアーキテクチャにおける医療機器とSBOM」開催
  • 今後のレポート発行計画
    • GRC in Healthcare v2 – 2024/Q1 公開目標
    • AI in Healthcare v2 – 2024/Q2 公開目標
    • Leveraging the data from IoT Wearables – 2024/Q3 公開目標
    • Healthcare Top Threats Report 2024 -2024年中公開目標
  • 2023年12月上旬　ブログ「医療／ライフサイエンスにおけるデータ損失防止(DLP)」(前編)　公開予定
  • 2024年1月上旬　ブログ「医療／ライフサイエンスにおけるデータ損失防止(DLP)」(後編)　公開予定
  • 2024年1月23日　CSA関西支部共催オンラインワークショップ「医療／ライフサイエンスにおけるデータ損失防止(DLP)」開催予定
• DevSecOps／サーバーレスWG:
  • DevSecOps – Pillar 6 – Measure, Monitor, Report & Action　2023年11月6日 公開ピアレビュー期間終了 –> 最終版作成・2024年1月公開予定
  • Practical Guidance for Implementing Privacy by Design and Default　ドラフト版作成中
  • 今後の作成予定ドキュメント：DevSecOps and AI
    • AIでコーディングを加速できるか
    • AIを活用した脆弱性低減策
    • CSA Zero Trust WGとのハーモナイゼーション活動
    • DevSecOps and AI/ZT
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    • SalesForce、Servicenow、Fileforceは状況待ち。新たにFortinetに依頼。
  • 今後の活動について検討中。
• AIWG：
  • Security Implications of ChatGPT　翻訳版のスタディを実施中。
  • WGセミナー「Microsoft Security Copilotの説明（仮題）」を12/19（火）実施予定。

2023年10月

• CCM　WG:
  • CCMLite V4.0.9およびCAIQLiteV4.0.3 公開
  • Auditor Guidanceの翻訳、最終レビュー中。近日公開。
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • 用語定義について検討中。CCM内で使用している用語について確定する。
• ゼロトラストWG：
  • 13日に第1回をキックオフ。アドバイザーとして佐々木先生、今野さん等をノミネート。
  • 教育委員会におけるゼロトラストについて次回議論する。
  • 村山先生のセミナーを11月17日（金）18:30で予定。
• 翻訳WG：
  • The Six Pillars of DevSecOps Achieving Reflexive Security Throughの翻訳最終レビュー中。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会終了。
  • 現在、作業休止中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • 今後の方向性について議論し、以下の項目を並行して進めていく予定。特に三番目がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。
    • WG名の変更（WG名と活動内容が少しずれてきているため）→SaaS Security WGに名称を変更したい
    • SaaSの利用状況に関する事例の収集（アンケートなど）
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 以下の内容を纏めてブログ、勉強会での発表を行うため、情報収集を実施中です。
    • SaaS運用における脅威分析の実施
    • SaaSを狙った、SaaS経由で発生したインシデントの調査、MITRE ATT&CKとの組み合わせによる攻撃解説それに向けた対策などを攻撃経路ごとに纏めていく予定。

• プライバシWG:
  • CoC Ver1.2分担は完了。各自執筆中。
  • Appendixとして、生成AIとプライバシー、GDPRの罰金事例などについて検討中 ＝＞Congress内容に含める。
    。
• 健康医療情報管理 WG：
  • ブログ；　ゼロトラストアーキテクチャにおける医療機器とSBOMの前編10月末に予定。11月に後編予定。
  • DLP for Healthcare。医療データの保護。改訂版がリリースされた。
  • 次回勉強会：　11/14予定。ゼロトラストアーキテクチャにおける医療機器とSBOM
  • 12月医療データの保護のブログを作成予定。1月に勉強会。
• DevSecOps／サーバーレスWG:
  • プライバシーバイデザインが、Workshopのパネルディスカッションで実施済。
  • サーバーレス・アーキテクチャのドキュメント完成。HOw to design serverless architectureがリリース。要翻訳。
  • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
  • The Six Pillars of DevSecOps – Pragmatic Implementationを翻訳WGと要検討。
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    • タレス登録。
    • あと、SalesForce、Servicenow、Fileforceは状況待ち。新たにFortinetに依頼。
  • 今後の活動について検討中。
• AIWG：
  • Security Implications of ChatGPT　翻訳版のスタディを開始する。

2023年9月活動状況

• CCM　WG:
  •  ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • Auditor Guidanceの翻訳を実施中。
  •  CCM V4およびCCM Lite V4がリリースされた。翻訳を検討する。
• SDP WG:
  • ゼロトラストWGを開始し、SDPWGは終了。。
• 翻訳WG：
  • DevSecOpsの2個のドキュメントの翻訳を仕掛中。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • 今後の方向性について議論し、以下の項目を並行して進めていく予定。特に三番目がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。
    • WG名の変更（WG名と活動内容が少しずれてきているため）→SaaS Security WGに名称を変更したい
    • SaaSの利用状況に関する事例の収集（アンケートなど）
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 以下の内容を纏めてブログ、勉強会での発表を行うため、情報収集を実施中です。
    • SaaS運用における脅威分析の実施
    • SaaSを狙った、SaaS経由で発生したインシデントの調査、MITRE ATT&CKとの組み合わせによる攻撃解説それに向けた対策などを攻撃経路ごとに纏めていく予定。

• プライバシWG:
  • CoC Ver1.2分担は完了。各自執筆開始。
  • Appendixとして、生成AIとプライバシー、GDPRの罰金事例などについて検討中 ＝＞Congress内容に含める。
    。
• 健康医療情報管理 WG：
  • 勉強会：9/19実施。
  • ブログ；　9月に後編を出した。
  • DLP for Healthcare。医療データの保護。
  • 次回勉強会：　11/14予定。ゼロトラストアーキテクチャにおける医療機器とSBOM
  • 次回ブログ：　10月にゼロトラストアーキテクチャにおける医療機器とSBOMの前編を予定。
    。
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックス公開済。
  • プライバシーバイデザインが、秋をめどにドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
  • サーバーレス・アーキテクチャのドキュメントのアップデート版作成中。ベストプラクティスが追加される予定。
  • 「The Six Pillars of DevSecOps」シリーズのドキュメント
    • DevSecOps – Pillar 2 – Collaboration and Integration(ドラフト作成中)
    • DevSecOps – Pillar 6 – Measure, Monitor, Report & Action(ドラフト作成中)
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    • タレス登録。
    • あと、SalesForce、Servicenow、Fileforceは状況待ち。新たにFortinetに依頼。
  • ブログ「SaaSのセキュリティ運用負荷を軽減させる方法とは」　公開。

2023年8月活動状況

• CCM　WG:
  •  ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • Auditor Guidanceの翻訳を実施中。
  • 今後、CCM Lite V4のリリースに合わせて翻訳を検討する。
• SDP WG:
  • 次を検討中。
• 翻訳WG：
  • DevSecOpsの2個のドキュメントの翻訳を仕掛中。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • 今後の方向性について議論し、以下の項目を並行して進めていく予定。特に三番目がメインとなりそうで、SaaS運用におけるセキュリティリスクなどを深堀し、ゼロトラストの文脈からやデバイス、SaaS間連携などの構成要素を整理していく予定。
    • WG名の変更（WG名と活動内容が少しずれてきているため）→SaaS Security WGに名称を変更したい
    • SaaSの利用状況に関する事例の収集（アンケートなど）
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳
  • 以下の内容を纏めてブログ、勉強会での発表を行うため、情報収集を実施中です。
    • SaaS運用における脅威分析の実施
    • SaaSを狙った、SaaS経由で発生したインシデントの調査、MITRE ATT&CKとの組み合わせによる攻撃解説それに向けた対策などを攻撃経路ごとに纏めていく予定。

• プライバシWG:
  •  CoC Ver1.2執筆分担決定。これから、内容を詰めていく。Appendixとして、生成AIとプライバシー、GDPRの罰金事例などを入れていく予定。
• 健康医療情報管理 WG：
  • 勉強会：9/19実施予定。
  • ブログ；　9月に後編を出す予定。
  • DLP for Healthcare。医療データの保護。
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックス peer review 修了。公開予定。
  • イバシーバイデザインが、秋をめどにドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
  • サーバーレス・アーキテクチャのドキュメントのアップデート版作成中。ベストプラクティスが追加される予定。
  • 「The Six Pillars of DevSecOps」シリーズのドキュメント
    • DevSecOps – Pillar 2 – Collaboration and Integration(ドラフト作成中)
    • DevSecOps – Pillar 6 – Measure, Monitor, Report & Action(ドラフト作成中)
• クラウドセキュリティ自動化WG：
  • Star Registry 日本語CAIQ登録状況
    SalesForceさん、タレスさん、Servicenow、Fileforceは状況待ち。TrendMicroさんのを事例として展開を開始する予定。
  • ブログ内容のレビューを実施中。

2023年7月活動状況

• CCM　WG:
  •  ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • Auditor Guidanceの翻訳を実施中。
  • 今後、CCM Lite V4のリリースに合わせて翻訳を検討する。
• SDP WG:
  • 次を検討中。
• 翻訳WG：
  • DevSecOpsの2個のドキュメントの翻訳を仕掛中。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • 活動としてはひと段落しているため、現在、以下の内容についてメンバーで検討中となります。
    • WG名の変更（WG名と活動内容が少しずれてきているため）→SaaS Security WGに名称を変更したい
    • SaaSの利用状況に関する事例の収集（アンケートなど）
    • SaaS運用における脅威分析の実施
    • CASB AUTO WGとの連携
    • （あれば）SaaS関連資料の翻訳

• プライバシWG:
  • 7/25にCoC Ver1.2の編集会議を実施予定で執筆方針と分担を決める予定。
• 健康医療情報管理 WG：
  • 7月実績
    • ブログ「ゲノムデータのサイバーセキュリティとアクセス制御（後編）」　（7/2）
    • ワークショップ(対面@京都)　（7/5）
      「ゲノムデータのサイバーセキュリティとアクセス制御」
    • ワークショップ（オンライン）　（7/25）
      「ゲノムデータのサイバーセキュリティとアクセス制御」
  • 8月予定
    • ブログ「ロボット支援手術(RAS)システムの脅威モデリング」(8/上旬)
• DevSecOps／サーバーレスWG:
  • 「NIST 800-53 controls implementation to Serverless FaaS」の公開ピアレビュー終了(7/12) –> 公開に向けた最終作業中(近日中公開)
  • 「サーバレスアプリケーションのための最も重大な12のリスク」の改訂版作成作業を開始予定
  • 「The Six Pillars of DevSecOps」シリーズのドキュメント
    • DevSecOps – Pillar 2 – Collaboration and Integration(ドラフト作成中)
    • DevSecOps – Pillar 6 – Measure, Monitor, Report & Action(ドラフト作成中)
  • 「Privacy by Design」策定に向けたWG横断的なオンラインワークショプ(7/27)
  • CSA DevSecOps WGとNISTとの連携活動：
    • オープンソースソフトウェア(OSS)セキュリティ+ DevSecOps
• クラウドセキュリティ自動化WG：
  • TrendMicroさんが、CAIQ日本語評価レポートを公開！(7/14)
    あと、SalesForceさん、タレスさん、Servicenow、Fileforceは状況待ち。TrendMicroさんのを事例として展開を開始する予定。
  • ブログ内容のレビューを実施中。

2023年6月活動状況

• CCM　WG:
  •  ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの公開済。この後、Auditor Guidanceの翻訳を行う。
  • 今後、CCM Lite V4のリリースに合わせて翻訳を検討する。
• SDP WG:
  • Medical Devices in A Zero Trust Architectureの翻訳公開済み。
  • 次を検討中。
• 翻訳WG：
  • DevSecOpsの2個のドキュメントの翻訳を仕掛中。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • 活動としてはひと段落しているため、現在、以下の内容についてメンバーで検討中となります。
    • WG名称の変更案（SaaS Governanceに合わせるか）
    • 今後の活動予定策定（SaaSセキュリティに関連した情報の収集、啓蒙など）

• プライバシWG:
  • 新しい個人情報の条番号に合わせたCoCJP1.2は６月の定例から開始した。Appendixとして、GDPRの罰金事例、米国のプライバシー法案の動向を含める予定。
  • それに向けて新しいメンバー募集を実施。4～5名が新たに参加。
• 健康医療情報管理 WG：
  • 7月予定
    • ブログ「ゲノムデータのサイバーセキュリティとアクセス制御（後編）」　（7/上旬）
    • ワークショップ(対面@京都)　（7/5）
      「ゲノムデータのサイバーセキュリティとアクセス制御」
    • ワークショップ（オンライン）　（7/25）
      「ゲノムデータのサイバーセキュリティとアクセス制御」
• DevSecOps／サーバーレスWG:
  • 「NIST 800-53 controls implementation to Serverless FaaS」の内部策定作業完了。公開ピアレビューのステージへ移行。
  • 「Privacy by Design」策定に向けたWG横断的なオンラインワークショプを企画中
  • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳を翻訳WGで作業中。
• クラウドセキュリティ自動化WG：
  • 日本語CAIQ評価レポートのSTAR Registryへの公開に向けてのアプローチ。
    TrendMicroさんが、CAIQ日本語評価レポートを公開！
    あと、SalesForceさん、タレスさんは状況待ち。TrendMicroさんのを事例として展開を開始する予定。
  • ブログ内容のレビューを実施中。

2023年5月活動状況

• CCM　WG:
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳レビュー中。この後、Auditor Guidanceの翻訳予定。
  • 今後、CCM Lite V4のリリースに合わせて翻訳を検討する。
• SDP WG:
  • Medical Devices in A Zero Trust Architectureの翻訳レビュー開始。。
• 翻訳WG：
  • DevSecOpsの2個のドキュメントの翻訳を仕掛中。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • 「クラウド利用者のためのSaaSガバナンスのベストプラクティス　V1.1」公開。
  • Summitでの講演終了。
  • 今後の活動について、6月の会議で検討する。

• プライバシWG:
  • 新しい個人情報の条番号に合わせたCoCJP1.2は６月の定例から開始する。Appendixとして、GDPRの罰金事例、米国のプライバシー法案の動向を含める予定。
  • それに向けて新しいメンバー募集する方向で検討。
• 健康医療情報管理 WG：
  • 勉強会：5/22にミートアップを実施
  • 日本総研でエストニアを招いてセミナー（オンライン）を行う。CSA関西がこれをサポートする。テーマはE-health。
  • 6月ブログ予定。「ゲノムデータのサイバーセキュリティとアクセス制御」。同じテーマで7月に勉強会予定。
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックス作成中。
  • 新たなサブグループ、プライバシーバイデザインが、来年のRSA conference(4月)にドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
  • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
  • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳を翻訳WGで作業中。
• クラウドセキュリティ自動化WG：
  • 日本語CAIQ評価レポートのSTAR Registryへの公開に向けてのアプローチ。
    数社が作業中。
  • ブログ内容のレビューを実施中。

2023年4月活動状況

• CCM　WG:
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳レビュー中。この後、Auditor Guidanceの翻訳予定。
• SDP WG:
  • 追加資料の翻訳を検討中。
• 翻訳WG：
  • 「DevSecOpsの6つの柱：自動化」公開。
  • 後2つを翻訳検討中。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • SaaS Governance Best Practiceの翻訳資料を再レビュー。レビューはほぼ完了し、既存資料を更新予定
  • Summitで本内容についてを発表するため、参加者で発表用資料のレビューを実施

• プライバシWG:
  • 新しい個人情報の条番号に合わせたCoCJP1.2は６月から検討開始予定。
  • それに向けて新しいメンバー募集する方向で検討中。
• 健康医療情報管理 WG：
  • 4/20 勉強会実施　SDGs達成に向けたデジタルヘルスを支えるクラウドネイティブセキュリティ　(ファーマIT＆デジタルヘルスエキスポ2023)
  • 4/23 ブログ公開　医療におけるITガバナンス・リスク・コンプライアンス(IT-GRC)（後編)
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックス作成中。
  • 新たなサブグループ、プライバシーバイデザインが、来年のRSA conference(4月)にドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
  • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
  • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳を翻訳WGで開始する予定。
• クラウドセキュリティ自動化WG：
  • 「クラウドネイティブにおける新しい責任共有モデルとセキュリティの考え方」ブログを公開 (3/29)
  • ブログ内容のレビューを継続中。

2023年3月活動状況

• CCM　WG:
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳レビュー中。この後、Auditor Guidanceの翻訳予定。
• SDP WG:
  • 追加資料の翻訳を検討中。
• 翻訳WG：
  • CSA_The-Six-Pillars-of-DevSecOps-Automation-SafeCode の翻訳作業中。最終レビュー中。週明けリリース予定。
  • 後2つを翻訳検討中。
  • Guidance v4 和訳見直し、いったん中止。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
  • 翻訳資料のサマリ版資料の作成（SaaS Governance Best Practices for Cloud Customers）。Congressで発表した資料をベースに要点をまとめたサマリ版の資料の完成を目指す。その資料作成し公開することを計画。時期は4月～5月ごろを想定。
  • Summitでの講演内容の検討中。

• プライバシWG:
  • 2月から3か月間は意見を持ち寄る会議を行う。
  • 統合版(V1.2)の執筆は6月開始を予定。
  • 5月ころ新会員の募集を予定。
• 健康医療情報管理 WG：
  • ワークショップが4月20日予定。ファーマIT EXPOで対面。
  • ZeroTrust Architecture in Healthcare　公開待ち。
  • 4/19~21　東京ビッグサイト　ファーマITの出展ブースあり。
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックス作成中。
  • 新たなサブグループ、プライバシーバイデザインが、来年のRSA conference(4月)にドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
  • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
  • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳も要検討。
• クラウドセキュリティ自動化WG：
  • 「クラウドネイティブにおける新しい責任共有モデルとセキュリティの考え方」ブログを公開 (3/29)
  • 次回会議から、ブログ内容のレビューを開始する予定。

2023年2月活動状況

• CCM　WG:
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳中（60%くらい完了）。この後、Auditor Guidanceの翻訳予定。
• SDP WG:
  • 「ゼロトラスト　リソースハブ」を公開
  • 追加資料の翻訳を検討中。
• 翻訳WG：
  • The Six Pillars of DevSecOps: Automation 翻訳作業を継続中
  • 翻訳のやり方を変更する。翻訳版をある程度構成したものをレビューするという形で進める。
  • Guidance v4 和訳見直し。いったん中止、再検討する。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
  • 翻訳資料のサマリ版資料の作成（SaaS Governance Best Practices for Cloud Customers）。Congressで発表した資料をベースに要点をまとめたサマリ版の資料の完成を目指す。その資料作成し公開することを計画。時期は4月～5月ごろを想定。
  • Summitでの講演内容の検討中。

• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1。リリース済。追補版なので、前のものと両方を公開する。
  • 2月から3か月間は意見を持ち寄る会議を行う。
  • 統合版の執筆は5月から6月開始を予定。
• 健康医療情報管理 WG：
  • 遠隔支援ロボットのサイバーセキュリティ。公開。.
  • ユースケースとして日本も入れた（川崎重工）けど、問題ありあり。
  • ZeroTrust Architecture in HealthcareのPeer Review中。
  • 4/19~21　東京ビッグサイト　ファーマITの出展ブースあり。
• DevSecOps／サーバーレスWG:
  • クラウドネイティブアーキテクチャとIoTセキュリティバイデザインの勉強会を実施済（2/17）
  • グローバルで、サーバレスとNIST SP800-53とのマトリックスが3分の2くらい終了。
  • 新たなサブグループ、プライバシーバイデザインが、来年のRSA conference(4月)にドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
  • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
  • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳も要検討。
• クラウドセキュリティ自動化WG：
  • 「「クラウドサービスのセキュリティ評価」はIT部門の重要ミッション！進め方と有用なツール」IT Leadersメディアから公開　(2/17)
  • 次回会議から、ブログ内容のレビューを開始する予定。

2023年1月 活動状況

• CCM　WG:
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • 名前をCCM WGに変更済。
  • CCM V4.0.6の日本語版提供に合わせて、Implementation Guidanceの翻訳中（50%くらい完了）。この後、Auditor Guidanceの翻訳予定。
  • ISMAPのチャネルを削除する。
• SDP WG:
  • 休止していたが、Zero Trust Resource HubがCSA本部で公開されており、これの日本語サイトの作成等から再開したい。
• 翻訳WG：
  • CSA_The-Six-Pillars-of-DevSecOps-Automation-SafeCode の翻訳作業中。
  • DevOpsに関する他の2つの資料の翻訳を検討中。
  • 翻訳のやり方を変更する。翻訳版をある程度構成したものをレビューするという形で進める。
  • Guidance v4 和訳見直し。いったん中止、再検討する。
• IoT WG:
  • IoT Control Matrix V3を輪講形式でWG内で勉強会を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。メンバー作業は終了。最終候補版を作成中。これをレビューする。3～4月公開予定。
  • DevSecOps解説セミナー：　当面無理。
  • DevSecOpsの翻訳：Secure configuration&miss configuration。翻訳は終了。最終確認が必要な状況。最終校正をどうするか翻訳WGで検討する。釜山さん->松浦さん。
  • ガイダンスの解説について、方針決めを行っている。各ドメインの解説を作っていく予定。
• CASB WG:
  • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
  • 翻訳資料のサマリ版資料の作成（SaaS Governance Best Practices for Cloud Customers）。Congressで発表した資料をベースに要点をまとめたサマリ版の資料の完成を目指す。その資料作成し公開することを計画。時期は4月～5月ごろを想定。

• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1。執筆終わり。最終レビュー完。リリースする。追補版なので、前のものと両方を公開する。
  • 次に統合版の執筆に入る。
• 健康医療情報管理 WG：
  • 1月18日（水）公開　ブログ「バイオ／医療データの相互運用性とプライバシーエンジニアリング技術」（前編）
  • 2月上旬公開予定　ブログ「バイオ／医療データの相互運用性とプライバシーエンジニアリング技術」（後編）
  • 2/13（月）開催予定　第10回CSA関西・健康医療WG公開ワークショップ「バイオ／医療データの相互運用性とプライバシーエンジニアリング技術」
• DevSecOps／サーバーレスWG:
  • 1月11日（水）時点の「Privacy by Design」構成案確定
  • 1月12日（木）時点の「NIST controls implementation to FaaS」状況
• クラウドセキュリティ自動化WG：
  • DevSecOpsの翻訳が完了した時点で、ブログ公開を予定。
  • 次回会議から、ブログ内容のレビューを開始する予定。

2022年12月活動状況

• CCM　WG:
  • CCM/STAR WGは、名称をCCM WGに変更しました。
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • WGの名前を名前をCCM WGに変更する。
  • CCM/STAR推進サブWG : 休止中
    • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
• SDP WG:
  • 活動休止中
• 翻訳WG：
  • CSA_six-pillars-of-devsecops, CSA_The-Six-Pillars-of-DevSecOps-Automation-SafeCode の翻訳を検討中。
  • 合わせて、The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳も検討要。
  • Security Guidance v4見直し：作業中（停滞中）
• IoT WG:
  • IoT Control Matrix V2に続いてV3を輪講形式でWG内で勉強会。次回会議で実施。
• クラウドセキュリティWG
  • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
• CASB WG:
  • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
  • 翻訳資料のサマリ版資料の作成（SaaS Governance Best Practices for Cloud Customers）。Congressで発表した資料をベースに要点をまとめたサマリ版の資料の完成を目指す。その資料作成し公開することを計画。時期は4月～5月ごろを想定。

• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1。執筆終わり。最終レビュー中。1月末リリース予定。
  • 次に、統合版を考えたい。
• 健康医療情報管理 WG：
  • 遠隔支援ロボットのサイバーセキュリティ。peer review版が公開。CSA＋MITREで進めている。ユースケースとして日本も入っている。
  • ZeroTrust Architecture in Healthcareを検討中。
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックスが3分の２くらい終了。
  • 新たなサブグループ、プライバシーバイデザインが、来年の4月末までにドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
  • ナノオプトメディア講演終了。
  • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。
  • The Six Pillars of DevSecOps – Pragmatic Implementationの翻訳も要検討。
• クラウドセキュリティ自動化WG：
  • キックオフミーティングを11/29に実施。
  • SSPMとVRM/TPRMの説明会を実施。（12/12
  • DevSecOpsの翻訳が完了した時点で、ブログ公開を予定。

2022年11月活動状況

• CCM/STAR　WG:
  • ISMAP 2022, ISMAP LIUを中心にマッピングを検討する。
  • WGの名前を名前をCCM WGに変更する。
  • CCM/STAR推進サブWG : 休止中
    • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
• SDP WG:
  • 活動休止中
• 翻訳WG：
  • Top Threats to Cloud Computing Pandemic Eleven : 公開済。。
  • Security Guidance v4見直し：作業中（停滞中）
• IoT WG:
  • IoT Control Matrix V2に続いてV3を輪講形式でWG内で勉強会開始する。次回会議より開始。
• クラウドセキュリティWG
  • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
• CASB WG:
  • 翻訳資料の調査（SaaS Governance Best Practices for Cloud Customers）
  • この資料を使ったCongress の講演内容の作成、内容のすり合わせを実施中
  • Congress終了後、内容をブログ展開していく予定。

• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1。執筆終わり。現在編集者に委託中。
• 健康医療情報管理 WG：
  • 遠隔支援ロボットのサイバーセキュリティ。peer review版が公開。CSA＋MITREで進めている。ユースケースとして日本も入っている。
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックスが3分の1くらい終了。
  • 新たなサブグループ、プライバシーバイデザインが、来年の4月末までにドキュメントを出す予定。組み込みも含まれるのでIoTも含む。
  • ナノオプトメディア講演終了。
  • DevSecOps 6Piller の automation 翻訳が必要か。翻訳WGと検討要。

2022年10月活動状況

• CCM/STAR　WG:
  • ISMAPマッピングの英語版をCSA本部に送付してオリジナルとしてリリース完了。
  • WGの名前を名前をCCM WGに変更する。
  • CCM/STAR推進サブWG
    • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
• SDP WG:
  • 活動休止中
• 翻訳WG：
  • Top Threats to Cloud Computing Pandemic Eleven : 作業進行中。担当者別翻訳レビューおよびチームレビュー会議開催済みで、最終レビュー版作成済。最終レビュー中。
  • Security Guidance v4見直し：作業中（停滞中）
• IoT WG:
  • IoT Control Matrix V2に続いてV3を輪講形式でWG内で勉強会開始する。次回会議より開始。
• クラウドセキュリティWG
  • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
• CASB WG:
  • 翻訳資料の調査（SaaS Governance Best Practices for Cloud Customers）
    この資料を使ったCongress の講演内容の作成、内容のすり合わせを実施中
  • Congress終了後、内容をブログ展開していく予定。

• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1　分担を決めた。理解を深めている。8月からアウトプットフェーズに入る。章番号の修正に手間取っている。内容は次回でフィックス。editorial修正を含め12月～1月リリース予定。
  • WORDの校正を行いたいので、WORD専門者を選定完了。NDAが必要。
  • 個人情報保護法の章番号が大きく変わっている。参照先の章番号の見直しが必要。
  • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
• 健康医療情報管理 WG：
  • 次回ブログ　10月。「医療のサードパーティーベンダーリスク管理」
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックス、作業分担が決まり、作業中。
  • ナノオプトメディアより、Security Daysで講演。合わせて以下の講演を実施予定。
    イベント名：EdgeTech+ 2022
    会場：パシフィコ横浜
    日時：11月18日(金) 15:30-16:15
    表題：クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン

2022年9月活動状況

• CCM/STAR　WG:
  • 英語版をCSA本部に送付してオリジナルとしてリリースすることに関しては、CSA本部のフィードバックを元に調整中。
  • Congressでの講演の検討中。
  • CCM/STAR推進サブWG
    • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
• SDP WG:
  • 活動休止中
• 翻訳WG：
  • 「Top Threats to Cloud Computing Pandemic Eleven」の翻訳中。担当者別翻訳レビューおよびチームレビュー会議開催済みで、最終レビュー版を編集中。
  • Security Guidance v4見直し：作業中（停滞中）
• IoT WG:
  • IoT Control Matrix V2に続いてV3を輪講形式でWG内で勉強会開始する。次回会議より開始。
  • 今後の活動について、以下を進める。
    • LACスマートシティーのお話
• クラウドセキュリティWG
  • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
• CASB WG:
  • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
  • SaaS governance best practices for Cloud customersに関するCongress の講演内容について複数回、すり合わせを継続中。今後これらの内容をブログ展開していく予定。

• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1　分担を決めた。理解を深めている。章番号の修正に手間取っている。内容は次回でフィックス。editorial修正を含め12月リリース予定。
  • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
• 健康医療情報管理 WG：
  • 次回ブログ　10月。「医療のサードパーティベンダーリスクマネージメント」を予定
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックス、作業分担が決まり、作業中。
  • ナノオプトメディアより、Security Daysで講演。合わせて以下の講演を実施予定。
    イベント名：EdgeTech+ 2022
    会場：パシフィコ横浜
    日時：11月18日(金) 15:30-16:15
    表題：クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザイン

2022年8月活動状況

• CCM/STAR　WG:
  • 英語版をCSA本部に送付してオリジナルとしてリリースすることに関しては、CSA本部のフィードバックを元に調整中。
  • 検討中のWGセミナー検討中は、Congressでの講演の検討に変更。
  • CCM/STAR推進サブWG
    • 最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
• SDP WG:
  • Authenticate Before Connect Consortium “ABCC”（接続前認証推進協議会）設立準備中。
• 翻訳WG：
  • 「Top Threats to Cloud Computing Pandemic Eleven」の翻訳中。
  • Security Guidance v4見直し：作業中（停滞中）
• IoT WG:
  • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第5回会議：8/4実施。
  • 今後の活動について、以下を進める。
    • LACスマートシティーのお話
    • IoT　V3の勉強会
      • V2の勉強会をアップデートして進める
• クラウドセキュリティWG
  • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
• CASB WG:
  • 翻訳資料の調査
    • この資料を使ったCongressの講演内容の仕込み中。これをブログ展開していく予定。
  • SaaSの運用状況の調査（アンケート企画）：ペンディング

• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1　分担を決めた。理解を深めている。8月からアウトプットフェーズに入る。11月リリース目標。
  • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
• 健康医療情報管理 WG：
  • ワークショップを7/27に開催済。
  • ブログ、8月公開済。「医療のサプライチェーンセキュリティ」
  • 次回ワークショップ　9/22。「医療のサプライチェーンセキュリティ」マクニカに参加していただく（製造業のサプライチェーン）。
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックス、作業分担が決まり、作業中。
  • 8/23　＠ITで講演済。ナノオプトメディアの講演：11/8。

2022年7月活動状況

• CCM/STAR　WG:
  • CCMV4.0.2とISMAPのマッピング日本語版公開。英語版をCSA本部に送付してオリジナルとしてリリースすることに関しては、CSA本部のフィードバックを元に調整中。
  • 上記についてWGセミナーを検討中。
  • CCM/STAR推進サブWGがスタート。
    最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
• SDP WG:
  • Authenticate Before Connect Consortium “ABCC”（接続前認証推進協議会）設立準備中。
• 翻訳WG：
  • 「Top Threats to Cloud Computing Pandemic Eleven」の翻訳を開始。
  • Security Guidance v4見直し：作業中（停滞中）
• IoT WG:
  • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第4回会議：7/7実施。
  • Guide to IoT Controls Matrix V3, IoT Control Matrix V3の翻訳版公開。
• クラウドセキュリティWG
  • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
• CASB WG:
  • SaaS Governance Best Practices for Cloud Customers（CASBWGで翻訳中）
  • SaaSのセキュリティ評価に関する課題、CAIQやCMMなどの活用を促す方法について
  • 共通の課題認識をもっているミツカル様のConorisの事例を受けて、今後の方針についてディスカッション。今後の参考で改めてミツカル様に話を伺う方向

• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1　分担を決めた。理解を深めている。8月からアウトプットフェーズに入る。11月リリース目標。
  • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
• 健康医療情報管理 WG：
  • 第7回CSA関西・健康医療WG公開ワークショップ「バイオエコノミー産業のサイバーセキュリティ最新動向」(7/27)
  • ブログ、8月公開予定。「医療のサプライチェーンセキュリティ」
• DevSecOps／サーバーレスWG:
  • グローバルで、サーバレスとNIST SP800-53とのマトリックス、作業分担が決まり、作業中。
  • ＠ITで講演予定（8/23）。ナノオプトメディアと同じ話。

2022年6月活動状況

• CCM/STAR　WG:
  • CSA本部に、CCM/ISMAPマッピングを提出し、賛同を得た。
  • 日本語の公開用ドラフトを作成し、7月公開で準備中。
  • 次期取り組みについての課題
    • CCMのv405がリリースされた
    • ISMAPの2022版がリリースされた
    • ISMAPに「ISMAP-LIU (Low Impact Use)」という新たなSaaSサービス登録制度が創設された。これは機密性2以下の低リスク業務処理・情報処理を対象とし、調達側の影響度評価の負担軽減を目指している。
  • CCM/STAR推進サブWGがスタート。
    最初のターゲットとして、The Evolution of STAR-Introducing Continuous Auditingの翻訳公開を開始。
• SDP WG:
  • Authenticate Before Connect Consortium “ABCC”（接続前認証推進協議会）設立準備中。
• 翻訳WG：
  • 「ハイブリッドクラウドのセキュアな接続要件」公開。
  • 「Top Threats to Cloud Computing Pandemic Eleven」の翻訳を開始。
  • Security Guidance v4見直し：作業中（停滞中）
• IoT WG:
  • IoTControl Matrix V3の翻訳も近々開始予定。翻訳ボランティアを募って実施。6月28日公開。
  • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第4回会議：6/9実施。定期的に輪講を実施中。
  • Guide to IoT Controls Matrix V3 翻訳作業中。6月28日公開。
• クラウドセキュリティWG
  • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。WORDが崩れる。ある程度できたところで翻訳WGに渡す。
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
• CASB WG:
  • 6月22日に定例を実施
    • SaaSのセキュリティ評価に関する課題、CAIQやCMMなどの活用を促す方法について
    • 共通の課題認識をもっているミツカル様のConorisの事例を受けて、今後の方針についてディスカッション
      今後の参考で改めてミツカル様に話を伺う方向
  • SaaS Governance Best Practices for Cloud Customersの翻訳対応について
    • ドキュメントがリリースされたため、翻訳プロセスを開始

• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1　分担を決めた。理解を深めている。5/6月から原稿案が出てくる予定。11月リリース目標。
    個人関連情報の第三者提供、海外移転の確認。保護委員会に問い合わせ中。執筆は、それが明確になり次第着手。
  • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
• 健康医療情報管理 WG：
  • ワークショップを7/27に開催予定。
• DevSecOps／サーバーレスWG:
  • DevSecOps　WGとの協調で、随時資料が出てくる予定。ウエブの変更等終了。
  • グローバルで、サーバレスとNIST SP800-53とのマトリックスをスタート。
  • C-Level Guidance to Securing Serverless Architectures　翻訳公開済。

2022年5月活動状況

• CCM/STAR　WG:
  • CCMV4.0.2とISMAPのマッピング作業中。6月リリース目標。最終調整・レビュー中。
  • CCM/STAR推進サブWGを設立準備中。渡邉さんプランに基づいて、FY22よりスタート予定。
• SDP WG:
  • SDP Specification v2_0　翻訳公開済
  • Authenticate Before Connect Consortium “ABCC”（接続前認証推進協議会）設立準備
• 翻訳WG：
  • 翻訳作業中：Secure Connection Requirements of Hybrid Cloud
    →機械翻訳＆翻訳メモリツールを用いた、翻訳作業の新プロセスで実施中。
  • 作業継続中：Guidance v4 和訳見直し（進捗停滞中）
• IoT WG:
  • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第3回会議：5/12実施。定期的に輪講を実施中。
  • Guide to IoT Controls Matrix V3 翻訳作業中。
  • IoTControl Matrix V3の翻訳も近々開始予定。翻訳ボランティアを募って行う予定。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
  • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。1ヶ月後には翻訳WGへ渡せる見込み。
• CASB WG:
  • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
    • 翻訳資料の調査
      • Cloud Octagon Model
      • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」（US最終レビュー中）
    • SaaSの運用状況の調査（アンケート企画）
      • 事前の感触をつかむためのBlog（SaaSとCCMやCAIQに関する内容）を作成予定
      • CSC/CSP/CASBベンダーと分けてヒアリングをかける予定
      • SaaS Security and Misconfigurations Report　->　CASBWGで翻訳計画中
• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1　分担を決めた。理解を深めている。5/6月から原稿案が出てくる予定。11月リリース目標。
    個人関連情報の第三者提供、海外移転の確認。保護委員会に問い合わせ中。執筆は、それが明確になり次第着手。
  • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
• 健康医療情報管理 WG：
  • ブログ：医療クラウドにおけるランサムウェア攻撃予防対策　公開済。
  • 医療のサプライチェーンセキュリティ、公開済。翻訳をどうするか検討中。
• コンテナマイクロサービスWG:
  • DevSecOps　WGとの協調で、随時資料が出てくる予定。ウエブの変更等必要（諸角）
  • グローバルで、サーバレスとNIST SP800-53とのマトリックスをスタート。
  • C-Level Guidance to Securing Serverless Architectures　翻訳。

2022年4月活動状況

• CCM/STAR　WG:
  • CCMV4.0.2とISMAPのマッピング作業中。6月リリース目標。5/9に最終調整・レビュー中。
  • CCM/STAR推進サブWGを設立準備中。
• SDP WG:
  • SDP Specification v2_0　翻訳レビュー中。
  • Authenticate Before Connect Consortium “ABCC”（接続前認証推進協議会）設立準備
• 翻訳WG：
  • ガイダンスV4の見直し作業中。
  • 翻訳ツール(Memsource）で新しい機能。DeepLが組み込まれているのでこちらで進める予定。
  • Secure Connection Requirements of Hybrid Cloud　翻訳作業中。
• IoT WG:
  • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第2回会議：3/2実施。定期的に輪講を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
  • “Secure DevOps and Misconfigurations”の翻訳。数名が終了。1ヶ月後には翻訳WGへ渡せる見込み。
• CASB WG:
  • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
    • 翻訳資料の調査
    • Cloud Octagon Model
    • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」（US最終レビュー中）
  • SaaSの運用状況の調査（アンケート企画）
    • 事前の感触をつかむためのBlog（SaaSとCCMやCAIQに関する内容）を作成予定
    • CSC/CSP/CASBベンダーと分けてヒアリングをかける予定
• プライバシWG:
  • 2月からCoCJPの2022年版の差分を入れたV1.1　分担を決めた。理解を深めている。5/6月から原稿案が出てくる予定。11月リリース目標。
  • PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
• 健康医療情報管理 WG：
  • ワークショップ4月12日終了。テーマは、医療のランサムウエア。
  • 医療のサプライチェーンセキュリティ、peer review 中。
  • ファームIT＆Digital EXPO、4/20にCSAとしてプレゼン実施。
• コンテナマイクロサービスWG:
  • CSA本部で、サーバレスのexecutive向け。リリース済。
  • DevSecOps　WGとの協調で、随時資料が出てくる予定。
  • NIST SP800-204C サービスメッシュを利用したマイクロサービス用のDevSecOps。概説書を作成中。 公開済。
  • グローバルで、サーバレスとNIST SP800-53とのマトリックスを検討中。

2022年3月活動状況

• CCM/STAR　WG:
  • CCMV4.0.2とISMAPのマッピング作業中。5月リリース目標。
  • CCM/STAR推進サブWGを設立準備中。
• SDP WG:
  • Authenticate Before Connect Consortium “ABCC”（接続前認証推進協議会）設立準備。
• 翻訳WG：
  • ガイダンスV4の見直し作業中。
  • How to Design a Secure Serverless Architecture　の翻訳、リリース済。
  • 翻訳ツール(Memsource）で新しい機能。DeepLが組み込まれているのでこちらで進める予定。
  • 次の翻訳について翻訳候補の選定中。
• IoT WG:
  • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第2回会議：3/2実施。定期的に輪講を実施中。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースはタイミングは7～8月。AWS:4月、Azure/GCP:その後1～２か月で進めていく。全部そろってから公開。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
  • WGメンバー整理済。MLも整理完了。
  • “Secure DevOps and Misconfigurations”の翻訳について調整中（来月開始予定）。進め方については、翻訳WG松浦さんと調整する。
• CASB WG:
  • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。会員企業にヒアリング中。
    また、以下に関して、情報交換や検討を行い、まとめる形でSaaSのリスクアセスメントに関するブログ等のアウトプットが出せないか、英語の資料については翻訳ができないか検討を継続して進めています
    • Cloud Octagon Model
    • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」
    • クラウドサービス 提供における情報セキュリティ対策ガイドライン（第3版）
    • 最新のSaaSからの情報漏洩インシデント
    •  SaaSの利用実態に対するSurveyの実施も検討
• プライバシWG:
  • CoCJPの2022年版の差分を入れたV1.1を作成中。
    PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
• 健康医療情報管理 WG：
  • ワークショップ4月12日開催。テーマは、医療のランサムウエア。
  • 医療のサプライチェーンセキュリティ、peer review 中。
  • ファームIT、4/20にCSAとしてプレゼン予定。
• コンテナマイクロサービスWG:
  • CSA本部で、サーバレスのexecutive向け。もうすぐリリース予定。
  • DevSecOps　WGとの協調で、随時資料が出てくる予定。
  • NIST SP800-204C サーバメッシュを利用したマイクロサービス用のDevSecOps。概説書を作成中。
  • グローバルで、サーバレスとNIST SP800-53とのマトリックスを検討中。

2022年2月活動状況

• CCM/STAR　WG:
  • CCMV4.0.2とISMAPのマッピング作業中。来年5月リリース目標。作業代替者をアサインし、リリース目標を維持する方向で進めている。
  • CCM/STAR推進サブWGを設立準備中。
• SDP WG:
  • “toward a zero trust architecture”、SDPWGで翻訳、リリース済。
• 翻訳WG：
  • ガイダンスV4の見直し作業中。
  • How to Design a Secure Serverless Architecture　の翻訳、リリース済。
  • 翻訳ツール(Memsource）の新しい機能で、DeepLが組み込まれているようになった。機能について調査を進める。契約については、一旦止めて、再度契約しなおす予定。
• IoT WG:
  • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第1回会議：2/2実施。今後、定期的に輪講を実施する。。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。リリースのタイミングは6～7月。AWS:３月、Azure/GCP:その後1～２か月で内容をまとめる作業を進めていく。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
  • WGメンバー整理済。MLも整理完了。
  • “Secure DevOps and Misconfigurations”の翻訳について調整中（来月開始予定）。進め方については、翻訳WG松浦さんと調整する。
• CASB WG:
  • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。会員企業にヒアリング中。
    また、以下に関して、情報交換や検討を行い、まとめる形でSaaSのリスクアセスメントに関するブログ等のアウトプットが出せないか、英語の資料については翻訳ができないか検討を継続して進めています
    • Cloud Octagon Model
    • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」
    • クラウドサービス 提供における情報セキュリティ対策ガイドライン（第3版）
    • 最新のSaaSからの情報漏洩インシデント
    •  SaaSの利用実態に対するSurveyの実施も検討
• プライバシWG:
  • メンバーのリフレッシュ終了。
  • 2月からCoCJPの2022年版の差分を入れたV1.1を作成開始。
    PMarkの運用基準がJIPDECから公開されたので、これのスタディーを行い、V1.1に反映する予定。
• 健康医療情報管理 WG：
  • ワークショップ3月予定。これからアナウンス。テーマは、医療のランサムウエア。
  • CSA本部の医療のサプライチェーンセキュリティ、peer review 中。
  • ファームIT、4/20にCSAとしてプレゼン予定。
• コンテナマイクロサービスWG:
  • How to Design a Secure Serverless Architecture　の翻訳を翻訳WGからリリース。
  • CSA本部で、サーバレスのexecutive向け。もうすぐリリース予定。
  • DevSecOps　WGとの協調で、CSA本部から随時資料が出てくる予定。

2022年1月活動状況

• CCM/STAR　WG:
  • CCMV4.0.2とISMAPのマッピング作業中。来年5月リリース目標。作業代替者をアサインし、リリース目標を維持する方向で進めている。
  • CCM/STAR推進サブWGを設立準備中。
• SDP WG:
  •  “toward a zero trust architecture”、SDPWGで翻訳中。2/4の会議で最終レビューを行いリリースする予定。
• 翻訳WG：
  • ガイダンスV4の見直し作業中。
  • How to Design a Secure Serverless Architecture　の翻訳中。最終校正完。1月中のリリース予定。
• IoT WG:
  •  IoT Control Matrix V2を輪講形式でWG内で勉強会開始。第1回会議は延期。リスケ2/2。
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。AWS:2～3月、Azure/GCP:その後3か月ごとを予定。公開については、今後検討。
  • DevSecOps解説セミナー：　検討中。
  • WGメンバー整理済。MLの方も整理する->諸角。
• CASB WG:
  • 【12月22日 6回目の定例を実施】
    • SaaS をよりセキュアに利用・運用するためのベストプラクティスに関するディスカッションを進行中。
      以下に関して、情報交換や検討を行い、まとめる形でSaaSのリスクアセスメントに関するブログ等のアウトプットが出せないか、英語の資料については翻訳ができないか検討を継続して進めています。
      • Cloud Octagon Model
      • CSA SaaS Governance 「SaaS Governance Best Practice for SaaS Customers」（レビュー中）
      • クラウドサービス 提供における情報セキュリティ対策ガイドライン（第3版）
      • 最新のSaaSからの情報漏洩インシデント
      • SaaSの利用実態に対するSurveyの実施も検討
• プライバシWG:
  • メンバーのリフレッシュ中。1月末をめど。
  • 1月からCoCJPの2022年版の差分を入れたV1.1を作成開始する予定。
• 健康医療情報管理 WG：
  • ワークショップ実施。遠隔医療のセキュリティのブログを12月公開。1月26日に遠隔医療のワークショップを実施する。
  • CSA本部から、来年6本リリースされる予定。
  • 医療機器サイバーセキュリティ協議会との連携。勉強会、ワークショップを行う方向で調整中。連携団体を目指す。（関西支部ドライブ）
  • CSA本部、ZTAを病院に導入することについてリサーチが行われている。
• コンテナマイクロサービスWG:
  • 翻訳を翻訳WGで作業中（serverless architecture）。
  • CSA本部で、サーバレスのexecutive向けのドキュメント作成中。現在、Peer Review中。

2021年12月　活動状況

• CCM/STAR　WG:
  •  0.2とISMAPのマッピング作業中。来年5月リリース目標。作業代替者をアサインし、リリース目標を維持する方向で進めている。
  • CCM/STAR推進サブWGを設立準備中。
• SDP WG:
  • SDP Spec v2　来年2月リリース予定。
  •  “toward a zero trust architecture”がCSA Washington chapterよりリリース。SDPWGで翻訳を行うことに決定。作業開始。1月前半公開を目指す。
• 翻訳WG：
  • The-State-of-Cloud-Security。12月14日公開済。
  • ガイダンスV4の見直し作業中。
  • How to Design a Secure Serverless Architecture　の翻訳作業中。
• IoT WG:
  • IoT Control Matrix V2を輪講形式でWG内で勉強会開始。IoT Control MatrixのV3を来年RSAに合わせてリリース予定。ｰ>　要検討
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。AWS:2～3月、Azure/GCP:その後3か月ごとを予定。公開については、今後検討。
  • DevSecOps解説セミナー：　検討中。
  • WGメンバー整理済。MLの方も整理する->諸角。
• CASB WG:
  • SaaSをセキュアに活用するための、指標や各種参考資料の情報共有を実施
  • 12/22定例会で以下の検討を進める。
  • 「クラウドサービス提供における情報セキュリティ対策ガイドライン（第３版）」(総務省)
  • Cloud Octagon Model(SaaS Governamce WG)
  • CSA SaaS Governance Best Practices For Cloud Customers
• プライバシWG:
  • 「個人情報の保護に関する法律準拠の為の行動規範」公開済（12月2日）。
  • メンバーの更新について、次回会議で確認を進めて実施する。
  • 1月からCoCJPの2022年版の差分を入れたV1.1を作成開始する予定。
• 健康医療情報管理 WG：
  • 遠隔医療のセキュリティのブログを12月公開予定。
  • 1月26日に遠隔医療のワークショップを実施する。
  • CSA本部から、来年6本の資料がリリースされる予定。
• コンテナマイクロサービスWG:
  • 翻訳を翻訳WGで作業中（serverless architecture）。
  • CSA本部で、サーバレスのexecutive向けのドキュメント作成中。

2021年11月活動状況

• CCM/STAR　WG:
  • 0.2とISMAPのマッピング作業中。一時レビューが半分終了。来年5月リリース目標。進捗が進んでいないので、作業代替者をアサインし、リリース目標を維持する方向で進める。
  • CCM/STAR推進サブWGを設立準備。渡邉さんサブリーダー。11/30、打合せを行う予定。
• SDP WG:
  • ISDP Spec v2　来年1月リリース予定。
  • “toward a zero trust architecture”がCSA Washington chapterよりリリース。全員で読んで、次回会議で方針を検討する（翻訳するかどうかも含め）。
• 翻訳WG：
  • The-State-of-Cloud-Securityの翻訳中。12月公開予定。
  • ガイダンスV4の見直しに着手。
  • 次の翻訳についても検討中。
• IoT WG:
  • IoT Control Matrix V2を輪講形式でWG内で勉強する。メンバー募集中、まもなく開始予定。
  • IoT Control MatrixのV3を来年RSAに合わせてリリース予定。ｰ>　要検討
• クラウドセキュリティWG
  • AWS/Azure/GCPのセキュリティのアーキテクチャレビューを作成中。AWS:1～2月、Azure/GCP:その後3か月ごとを予定。公開については、今後検討。
  • DevSecOps解説セミナー：　ブログ、セミナーの方向で検討中。
  • WGメンバー整理中。11月までに返事がない場合には削除する予定。
• CASB WG:
  • 2回CASBWGの定例を開催しました。
    • 10月26日：　各セキュリティ認証を掘り下げ、今後の活動方針を議論
      活動をよりSaaSをセキュアに利活用するための、情報共有と提供者、利用者に対する啓蒙活動に絞る
    • 11月24日：　SaaSをセキュアに活用するための、指標や各種参考資料の情報共有を実施
    • 「クラウドサービス提供における情報セキュリティ対策ガイドライン（第３版）」(総務省)
    • Cloud Octagon Model(SaaS Governance WG)
    • CSA SaaS Governance Best Practices For Cloud Customers （2022の2月にリリース予定）
      それぞれの特徴やISMAPなど他の評価制度などとの関連性をまとめて、WGからブログ等で何かアウトプットできないかを検討中
• プライバシWG:
  • CoCJP　0　11/29完成。
  • メンバーの更新を12月に行う。
  • 1月からCoCJPの2022年版の差分を入れた1を作成開始する予定。
• 健康医療情報管理 WG：
  • ワークショップ実施。遠隔医療のセキュリティのブログを12月公開予定。1月に遠隔医療のワークショップを実施。
  • CSA本部から、医療機器のインシデントレスポンスplaybookがリリースされた。厚生労働省に参考資料として提出した。
• コンテナマイクロサービスWG:
  • サーバレスアーキテクチャの概説をPPTで作成。翻訳を翻訳WGにお願いしたい（serverless architecture）。->　翻訳WGで検討する。

2021年10月活動状況

• CCM/STAR　WG:
  • CCMv4.0.2とISMAPのマッピング作業中。一時レビューが半分終了。来年5月リリース目標。
  • STAR認証に関するブログ2本公開。。
• SDP WG:
  • Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement”のピアレビュー参加
  • SDP Spec v2のWorking Group Sessionに参加（どちらも小野さん）
  • SDPの現状、ZScaler等との関連についてミーティングを実施（テクマトリックス太田さん）
• 翻訳WG：
  • Threat Modeling Frameworkの翻訳中。まもなく公開予定。
  • ガイダンスV4の見直しに着手。
• IoT WG:
  • 活動無し。
• クラウドセキュリティWG
  • 「クラウド重大セキュリティ脅威対策 – DevSecOpsのユースケース –」公開。
  • 現在、Well Architected framework を掘り下げている。ドラフト完了。12～1月公開予定で進めている。さらに、Azure等にフォーカスするかを検討する。
• CASB WG:
  • 9/29勉強会実施。既存のCASBユーザの状況の検討。State of Cloud Security Risk, Compliance, and Misconfigurationsを使った勉強会を実施。10/26会議：セキュリティ認証を掘り下げる。
• プライバシWG:
  • 最終レビュー（校正レベル）を11月5日予定。Congress前にリリース予定で進めている。
• 健康医療情報管理 WG：
  • 医療Blockchainのブログ作成中。ワークショップは11/22予定（大和さんを招待）。
• コンテナマイクロサービスWG:
  • サーバレスのドキュメントの解説版を作成中。資料として作成する。11月中旬予定。
  • 翻訳については、解説版作成後、翻訳WGに依頼することになりそう。

2021年9月活動状況

• CCM/STAR　WG:
  • CCMV4.0.2とISMAPのマッピング作業中。
    • FedRAMPの規格も追加して評価する。
    • 3月リリース予定。
• SDP WG:
  • “Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement”のピアレビュー参加。
• 翻訳WG：
  • 翻訳作業をキックする予定（来週のミーティング）
  • CSA本部公開資料のどれを翻訳するかの計画を行う。
• IoT WG:
  • 8月活動無し。
• CASB WG:
  • 9/29勉強会実施予定。最新のCASBソリューション状況、CSA本部状況などについて情報共有する。
• プライバシWG:
  • CoC for個人情報保護法
    • レビュー完了
    • 序文作成中。個人情報保護法の動きが速いので、それを含めて検討中。
    • その後体裁を整える作業に入る。
    • 11月リリース予定。
• 健康医療情報管理 WG：
  • 関西支部で、大阪商工会議所の東様より連絡あり。スマートシティーにおけるブロックチェーンの検討を行う。大阪商工会議所で再建とが入っていてペンディング。
• コンテナマイクロサービスWG:
  • CSA本部から公開されたMicroServiceおよびServerlessの資料の解説版を作成予定。翻訳については、その後検討する。

2021年8月活動状況

• ISMAPタスクフォース:
  • CMV3.0.1と「政府情報システムのためのセキュリティ評価制度(ISMAP)」とのマッピング公開　（2021/8/9）
  • 今後は、CCM/STAR WGで活動継続。
• CCM/STAR　WG:
  • CCMV4.0.2とISMAPのマッピング作業開始。
    • リリース目的の明確化。
      • ジャパン向け：　ISOとISMAPのギャップも記載。
      • 本部向け：　CCMとISMAPのギャップ分析。
  • ISMAPタスクフォースを取り込み形で新たに活動開始。
• SDP WG:
  • 活動再開に向け会議実施（2021/8/20）。以下の領域で活動を進める：
    • SDP V2の理解。必要に応じて翻訳。
    • LAB環境を用いた検討会等をWGで実施。
    • 千葉工業大学との連携
    • CSA本部が作ろうとしているゼロトラストとSDPの教育コースの調査・検討。
    • SASEとSDPの検討。
• 翻訳タスクフォース：
  • CCMV4.0.2, CAIQV4.0.2の日本語版公開　(2021/8/20)
  • 今後は翻訳WGとして進める。
• 翻訳WG：
  • 翻訳については、今までの進め方を踏襲する。WGとしては、翻訳管理を行い、翻訳はボランティアを集めて行う。
  • 新たな活動として、訳語集の作成、既存文書の見直し、機械翻訳、翻訳差分管理の検討等を行う。
• IoT WG:
  • 7月活動無し。
• CASB WG:
  • 7月の定例会にて、CASB周辺の状況アップデートと、クラウドセキュリティの整理、本国のCSAブログ内容のシェアを実施。次回は9月中旬～末頃に実施予定。
  • 参加人数が少ないのが課題となっており、もう数回実施してみて、その結果次第では、別WGへの統合も検討したい。
• プライバシWG:
  • レビュー完了。校正を開始する（アウトソースの可能性もあり）。11月リリースを目標。
• 健康医療情報管理 WG：
  • 関西支部で、大阪商工会議所の東様より連絡あり。スマートシティーにおけるブロックチェーンの検討を行う。オンライン会議を実施。
  • ブロックチェーンWGのDIDなどとの連携が必要かも。
• コンテナマイクロサービスWG:
  • CSA本部からの新しいドキュメントの公開待ち。

2021年7月活動状況

• CCM/STAR　WG:
  • CCM　V4翻訳版公開（2021年7月19日）（翻訳タスクフォースの協力のもと）。
  • 0.2, CAIQV4.0.2翻訳作業開始
• SDP WG:
  • SDP　Specification V2へのフィードバック。
  • 今後の活動方針について、ＷＧメンバーで協議を進める。
• 翻訳タスクフォース：
  • CCM　V4翻訳公開（2021年7月19日）
  • Critical-Controls-Salesforce翻訳公開（2021年7月9日）
• IoT WG:
  • 7月活動無し。
• CASB WG:
  • WG会議を7月29日に開催。ブログの件をディスカッションする予定。
• プライバシWG:
  • 文言の統一、通しレビュー中。2回目のレビューを8月予定。3回くらいのレビューで終了する予定。Informative Marketingを追記する予定。
  • CoC for California(?) の状況を調べてプライバシWGに連絡する。
• 健康医療情報管理 WG：
  • CSA本部でPeer Review 3本あり。さらに追加ドキュメントの作成予定。
    CSAジャパン関西支部のブログで概要を紹介する予定。
  • HealthcareWG とIoTWGから、医療機器のインシデントレスポンスのプレイブックがまもなくPeer Review.
• コンテナマイクロサービスWG:
  • マイクロサービスのアーキテクトの資料がCSA本部からリリースされる予定。WGとして概要説明資料を作成する予定。
  • “serverless framework” がpeer review中。まもなくリリースされる予定。。
  • DevSecOpsとコンテナマイクロサービスの資料をCSA本部で検討中。
• ISMAPタスクフォース:
  • 7月26日ISMAPV3のクロージング。来週の運営委員会で終了報告とリリースについて連絡する。

2021年6月活動状況

• CCM/STAR　WG:
  • CCM　V4翻訳中（翻訳タスクフォースの協力のもと）。

• SDP WG:
  • 千葉工業大学とのコラボに向けて、情報交換。
  • SDP Specification V2へのフィードバック実施。

• 翻訳タスクフォース：
  • クラウドインシデントレスポンス（CIR）フレームワーク翻訳公開（2021/6/3)
  • CCM　V4翻訳中
  • Critical-Controls-Salesforce翻訳中

• IoT WG:
  • IoTセキュリティコントロールフレームワーク　V2　翻訳公開（2021/5/30）

• CASB WG:
  • 勉強会「SaaSの設定を可視化、監査するSSPMとは？」（2021/6/25実施予定）
  • 7月定例会実施予定

• プライバシWG:
  • CoCJP作成は、各章は執筆がほぼ完了。通しでレビューを実施予定。

• Health WG：
  • 6月ブログアップ。7月にこの内容で勉強会を行う予定。

• コンテナマイクロサービスWG:
  • サーバレスの資料が7月リリースされる予定。
  • コンテナマイクロサービスの資料はその後リリースされる予定。
  • DevSecOpsとコンテナマイクロサービスの資料をCSA本部で検討中。

• ISMAPタスクフォース:
  • 7/26クロージングミーティング予定。CCM　0.1とISMAPのマッピング済。8月運営委員会でリリースに向けて承認を得る予定。
  • CCMV4とのマッピングを8月開始予定。
  • ISMAPタスクフォースとCCM/STAR WGの合体を含めて検討。

• クラウドセキュリティWG:
  • アーキテクチャフレームワークを使った検討。今後どう進めていくかを検討中。
  • クラウドにおけるセキュリティ評価、セキュリティサービスの比較を行うかどうかを検討中。

• データセキュリティWG:
  • ドキュメントがまとまりつつある。6/28に完結確認。公開に進める予定。
  • 情報交換の場としてWGは継続する。