#author("2020-07-17T17:02:27+09:00","","")
[[OWASP ASVS 4.0]]
*管理目標 [#w039ad7c]
エラー処理とログ記録の主な目的はユーザー、管理者、インシデントレスポンスチームに対して有用な情報を提供することです。その目的は大量のログを作成することではなく、廃棄されるノイズよりもより多くのシグナルを持つ高品質のログを作成することです。~
高品質のログは機密データを含むことが多く、地域ごとのデータプライバシー法や規制に従って保護する必要があります。これには以下が含まれます。
-特に必要がない限り機密情報を収集や記録しません。~
-ログに記録されたすべての情報がセキュアに処理され、そのデータ分類に従って保護されていることを確認します。
-ログは永続的に保存されるのではなく、可能な限り短い絶対存続時間を持つことを確認します。
個人データや機密データ (国ごとに定義が異なります) をログに含む場合、そのログはアプリケーションにより保持される最も機密性の高い情報の一つとなり、攻撃者にとってそれ自体が非常に魅力的です。~
また、アプリケーションがセキュアに失敗し、エラーが不要な情報を開示しないようにすることも重要です。
*V7.1 ログ内容要件 [#qc5e9d42]
機密情報をログに記録することは危険です。そのログは分類され、暗号化する必要があり、保有ポリシーの対象となり、セキュリティ監査で開示する必要があります。必要な情報のみをログに保存し、決済、資格情報 (セッショントークンを含む) 、機密情報、個人識別情報を含めてはいけません。~
V7.1 は OWASP Top 10 2017:A10 をカバーしています。2017:A10 とこのセクションはペネトレーションテストが不可能であるため、以下の点が重要です。~
-開発者はすべての項目が L1 としてマークされているものとして、このセクションに完全準拠していることを確認します。
-ペネトレーションテスト担当者はインタビュー、スクリーンショット、アサーションを介して V7.1 のすべての項目の完全準拠を検証します。
