セキュリティの立ち上げで何をやる？

ARANK

最近、セキュリティの立ち上げで何をやったらいいかわからない、という質問を何度か受けるケースがあったので、最初に何をやるか、というのを情シスやセキュリティ担当者としての考えをまとめてみる。 著者のキャリアについてセキュリティの立ち上げについて書く以上、信頼に足る情報源なのか？という疑問がわくと思うので、簡単に著者のキャリアを書いておきます。2002年にSIerでIT業界に入り、研究所のNetwork Admin、Web penetration test、ISMSコンサルの補佐などやり、その後外資プリセール分野で7年仕事して、最初のSIに戻ってセキュリティソリューションの立ち上げを担当、その後ユーザーサイドにキャリアを変えて、外資石油系企業のセキュリティアナリスト、中国系スタートアップのInfoSec Director&一人情シスをやってきたキャリアです。CISSPは2019年に取得しており、現在はUbie Discoveryで情報セキュリティを担当しています。そのようなキャリアであるので、SaaSのプロダクトセキュリティで何をやるか、という観点ではなく、コーポレートや情シスサイドでの考え方を中心に、立ち上げでやることと各種情報のポインターを記載します。プロダクトセキュリティにつ…