OWASP ASVS 4.0 のバックアップ(No.4)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- OWASP ASVS 4.0 へ行く。
情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
はじめに †
本項では、セキュアコーディングを確立するため、OWASP Application Security Verification Standard をベースに具体的な対策を国防総省 STIGs 及び本ガイドラインの設定対策に紐づけ解説します。
OWASP Application Security Verification Standard とは †
ASVS プロジェクトは、アプリケーションの設計、開発、脆弱性診断などにおけるセキュリティ要件の標準を開発するプロジェクトです。ASVS v4.0.1 では、以下のセキュリティ要件を総計14のカテゴリに分類してまとめリスト化しています。
また、ASVSはアプリケーションの性質、特性に応じてセキュリティレベルを3段階に分けています。これによって最低限設定すべき項目から、高い信頼性を求められるシステムでの実装すべきセキュリティ項目を洗い出すことが可能となっています。
- レベル1: 全てのアプリケーションが満たすべきもの
- レベル2: 機微なデータを扱うアプリケーションが満たすべきもの
- レベル3: さらに高度な信頼性が求められるアプリケーションが満たすべきもの
ASVSはクリエイティブコモンズ CC BY-SA(表示ー継承)でライセンスされるため、変更点を明示し、同様のライセンスを付与することで、商用利用、再頒布が可能です。
ASVS を要件定義段階でセキュリティ標準として定めることで、設計、コーディング段階での具体的な仕様を提示することが可能となります。また、ASVS は共通脆弱性タイプ一覧 (Common Weakness Enumeration:https://cwe.mitre.org/)に紐づいていることから、脅威に基づく対策を設定やコーディングレベルで保証でき、脆弱性管理の監査が容易になります。
設計段階で各対策の該当・非該当を示し、コーディングレベルでのコンポーネントの使用方法を具体的に示すことで、サプライチェーンでのコーディング規約が確立でき、また、単体テスト、結合テスト、出荷テストなど各段階での脆弱性検査や、脆弱性スキャナーなどのツールを使用する際の具体的なテスト項目の洗い出しにも活用できます。