本資料は、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) 3.0.1 を翻訳したものです。
ASVS プロジェクトは、アプリケーションの設計、開発、脆弱性診断などにおいて必要となるセキュリティ要件の標準を確立することを目指して活動しています。ASVS v3.0.1 では、アーキテクチャ、認証、セッション管理、アクセス制御など、アプリケーションに必要とされるセキュリティ要件を総計19のカテゴリに分類してまとめています。
また、これらのセキュリティ要件は、必ずしもすべて満たすべきというわけではありません。例えば「入力値検証はサーバ側で実装されている(5.5)」のように、すべてのアプリケーションが満たすべきセキュリティ要件がある一方で、「セキュリティログに完全性を保証する機構が備わっており許可なくログを変更できない(8.11)」のように、高度な信頼性が求められる場合にのみ満たすべきと考えられるセキュリティ要件もあります。ASVS では、次の3段階からなる「セキュリティ検証レベル」という指標を設け、個々のセキュリティ要件がどのレベルに位置付けられるかを明示しており、取捨選択を検討する際の参考になります。
- レベル1: 全てのアプリケーションが満たすべきもの
- レベル2: 機微なデータを扱うアプリケーションが満たすべきもの
- レベル3: さらに高度な信頼性が求められるアプリケーションが満たすべきもの
ASVS の活用方法としては、開発したアプリケーションがどの程度セキュアなのかを客観的に図る指標としての使用、アプリケーション開発を発注する企業が、開発業者にセキュリティ要件を伝える際のドキュメントとしての使用、また、セキュリティ診断サービス提供者が、実施する診断項目を ASVS の検証要件を使って説明するなど、複数の関係者がセキュリティ要件に関する認識を合せるために役立てていただくことが想定されています。
セキュアなアプリケーション開発のために、ASVS をご活用ください。
https://github.com/JPCERTCC/OWASPdocuments/
公開日 | タイトル | |
---|---|---|
2016-06-23 | OWASPアプリケーションセキュリティ検証標準 3.0.1 | 1.13MB(PGP署名) |