本研究は、6つの企業へのインタビューを通じて、セーフティクリティカルな組織におけるセキュリティ証拠の管理の現状を明らかにしている。
まず、セキュリティ証拠管理の成熟度は十分ではなく、企業間や組織内でもばらつきがあることが分かった。セキュリティ証拠の重要性は認識されているものの、適切な管理プロセスが確立されていない。
セキュリティ証拠は、リスク分析、脆弱性テスト、設計文書レビューなどの開発プロセスの様々な活動から生成される。しかし、証拠の責任所在、保管方法、アクセス管理、構造化などの具体的な管理手順が明確ではない。
企業は、規制要件への準拠、顧客要求への対応、内部の信頼性確保などを動機として、セキュリティ証拠の管理に取り組んでいる。一方で、証拠の範囲の特定、品質保証、アクセス制御、組織横断的な管理などに課題を抱えている。
自動化については、一部の企業で取り組みが始まっているものの、ニーズは高いものの実現には至っていない。
翻譯成其他語言
從原文內容
arxiv.org
深入探究