情報システム開発契約のセキュリティ仕様作成のためのガイドライン
最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[最低限検討すべきデフォルト緩和策>情報システム開発契約の...
*1. 暗号化 [#e3b0e483]
**1-1 アプリケーションは、暗号で保護されたパスワードのみ...
パスワードを送信するときにパスワードを暗号化するようにア...
**1-2 アプリケーションは、送信される情報の機密性と整合性...
データ保護要件に従ってTLS暗号化を要求するように、すべての...
*2. 脆弱性管理 [#k6a78714]
**2-1 アプリケーションは、オーバーフロー攻撃に対して脆弱...
自動境界チェックを実行する言語またはコンパイラを使用する...
抽象化ライブラリを使用して、危険なAPIを抽象化する。~
StackGuard、ProPolice、Microsoft Visual Studio / GSフラグ...
OSレベルの保護機能を使用し、ユーザー入力の検証を制御する。~
ベンダー製品でオーバーフローが特定された場合、アプリケー...
**2-2 システムの初期化が失敗した場合、シャットダウンが失...
初期化、シャットダウン、中止などで、アプリケーションが安...
**2-3 アプリケーションは、入力処理及び出力処理の脆弱性の...
入力を受け入れるときはベストプラクティスに従い、アプリケ...
**2-4 すべての製品は、ベンダーまたは開発チームによってサ...
アプリケーション内のサポートされていないすべてのソフトウ...
**メンテナンスまたはサポートが利用できなくなったら、アプ...
アプリケーションのメンテナンスが継続されていることを確認...
**2-5 アプリケーションは、XML指向の攻撃に対して脆弱であっ...
XML攻撃に対して脆弱ではないコンポーネントを利用するように...
脆弱性が発見されたら、アプリケーションコンポーネントにパ...
**2-6 アプリケーションは、SQLインジェクションに対して脆弱...
アプリケーションを変更し、SQLインジェクションの脆弱性を削...
**2-7 アプリケーションは、コマンドインジェクションから保...
特殊文字入力をエスケープ/サニタイズするようにアプリケーシ...
**2-8 アプリケーションは、クロスサイトスクリプティング(X...
ユーザー入力が検証されていることを確認し、ユーザー入力を...
独自のエスケープロジックを構築するのではなく、Webテンプレ...
*3. セッション管理 [#hd4cdab2]
**3-1 アプリケーションは、ログオフ時またはブラウザーのク...
アプリケーションセッションが終了したら、セッションID Cook...
**3-2 アプリケーションはセッションIDを公開しない。 [#cb53...
セッションIDを傍受または改ざんから保護するようにTLS、VPN...
**3-3 アプリケーションは、非表示フィールドに機密情報を保...
非表示フィールドに機密情報を保存しないようにアプリケーシ...
*4. 属性管理 [#x4ce7873]
**4-1 アプリケーションには、必要に応じて機密属性を表示す...
アプリケーションは、データの機密属性(個人情報、機微情報...
*5. 認証・認可 [#f7daf6a6]
**5-1 アプリケーションは、ユーザーによる15分間の無効なロ...
15分間に3回、もしくは5回ログオンに失敗すると、アカウント...
**5-2 アプリケーションに埋め込み認証データを含めることは...
コード、構成ファイル、スクリプト、HTMLファイル、またはASC...
**5-3 SAMLアサーションでSubjectConfirmation要素を使用する...
SAMLアサーションで<SubjectConfirmation>要素を使用するとき...
**5-4 WS-SecurityまたはSAMLアサーションを使用して、すべて...
すべてのWS-SecurityトークンプロファイルおよびSAMLアサーシ...
**5-5 SAMLアサーションでConditionsエレメントを使用する場...
SAMLアサーションで<Conditions>要素を使用するときに、<NotB...
**5-6 WS-Securityで保護されたメッセージは、作成および有効...
WS-Securityメッセージを使用してアプリケーションを設計およ...
**5-7 アプリケーションは、PKIベースの認証を使用する場合、...
アプリケーションまたは関連するアクセス制御メカニズムを構...
**5-8 アプリケーションは、パスワード/ PINをクリアテキスト...
入力時にパスワードとPINが難読化され、読み取れないようにア...
難読化されたパスワードをコピーしてクリアテキストとして貼...
**5-9 アプリケーションは、PKIベースの認証を利用する場合、...
PKIベースの認証を使用する場合、受け入れられたトラストアン...
**5-10 アプリケーションは、15文字以上のパスワード長を強制...
パスワードに15文字を要求するようにアプリケーションを構成...
アプリケーションは、設定されるパスワードに、IDが含まれて...
**5-11 アプリケーションは、過度のアカウント権限なしで実行...
最小限の特権でアプリケーションアカウントを構成する。アプ...
**5-12 デフォルトのパスワードを変更する。 [#l39032d0]
可能な場合、パスワードの代わりに強力な認証システムを使用...
デフォルトのパスワードには、P@ssw0rd、pass、製品名などの...
**5-13 アプリケーションは、アクセス制御ポリシーに従って、...
アプリケーションリソースへのアクセス承認を強制する。
**5-14 アプリケーションは、組織ユーザー(または組織ユーザ...
ユーザーおよびユーザープロセスを一意に識別および認証する...
**5-15 アプリケーションは、パスワードの暗号表現のみを保存...
パスワードハッシュ値を作成するときは、強力な暗号化ハッシ...
パスワードハッシュの作成時にランダムなソルト値を使用する。
認証データを含むデータファイルの強力なアクセス制御許可を...
*6. ネットワーク構成 [#yf3f8537]
**6-1 アプリケーションWebサーバーは、DMZで動作する階層型...
他のアプリケーション層からWebサーバーを分離し、DMZデータ...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[最低限検討すべきデフォルト緩和策>情報システム開発契約の...
*1. 暗号化 [#e3b0e483]
**1-1 アプリケーションは、暗号で保護されたパスワードのみ...
パスワードを送信するときにパスワードを暗号化するようにア...
**1-2 アプリケーションは、送信される情報の機密性と整合性...
データ保護要件に従ってTLS暗号化を要求するように、すべての...
*2. 脆弱性管理 [#k6a78714]
**2-1 アプリケーションは、オーバーフロー攻撃に対して脆弱...
自動境界チェックを実行する言語またはコンパイラを使用する...
抽象化ライブラリを使用して、危険なAPIを抽象化する。~
StackGuard、ProPolice、Microsoft Visual Studio / GSフラグ...
OSレベルの保護機能を使用し、ユーザー入力の検証を制御する。~
ベンダー製品でオーバーフローが特定された場合、アプリケー...
**2-2 システムの初期化が失敗した場合、シャットダウンが失...
初期化、シャットダウン、中止などで、アプリケーションが安...
**2-3 アプリケーションは、入力処理及び出力処理の脆弱性の...
入力を受け入れるときはベストプラクティスに従い、アプリケ...
**2-4 すべての製品は、ベンダーまたは開発チームによってサ...
アプリケーション内のサポートされていないすべてのソフトウ...
**メンテナンスまたはサポートが利用できなくなったら、アプ...
アプリケーションのメンテナンスが継続されていることを確認...
**2-5 アプリケーションは、XML指向の攻撃に対して脆弱であっ...
XML攻撃に対して脆弱ではないコンポーネントを利用するように...
脆弱性が発見されたら、アプリケーションコンポーネントにパ...
**2-6 アプリケーションは、SQLインジェクションに対して脆弱...
アプリケーションを変更し、SQLインジェクションの脆弱性を削...
**2-7 アプリケーションは、コマンドインジェクションから保...
特殊文字入力をエスケープ/サニタイズするようにアプリケーシ...
**2-8 アプリケーションは、クロスサイトスクリプティング(X...
ユーザー入力が検証されていることを確認し、ユーザー入力を...
独自のエスケープロジックを構築するのではなく、Webテンプレ...
*3. セッション管理 [#hd4cdab2]
**3-1 アプリケーションは、ログオフ時またはブラウザーのク...
アプリケーションセッションが終了したら、セッションID Cook...
**3-2 アプリケーションはセッションIDを公開しない。 [#cb53...
セッションIDを傍受または改ざんから保護するようにTLS、VPN...
**3-3 アプリケーションは、非表示フィールドに機密情報を保...
非表示フィールドに機密情報を保存しないようにアプリケーシ...
*4. 属性管理 [#x4ce7873]
**4-1 アプリケーションには、必要に応じて機密属性を表示す...
アプリケーションは、データの機密属性(個人情報、機微情報...
*5. 認証・認可 [#f7daf6a6]
**5-1 アプリケーションは、ユーザーによる15分間の無効なロ...
15分間に3回、もしくは5回ログオンに失敗すると、アカウント...
**5-2 アプリケーションに埋め込み認証データを含めることは...
コード、構成ファイル、スクリプト、HTMLファイル、またはASC...
**5-3 SAMLアサーションでSubjectConfirmation要素を使用する...
SAMLアサーションで<SubjectConfirmation>要素を使用するとき...
**5-4 WS-SecurityまたはSAMLアサーションを使用して、すべて...
すべてのWS-SecurityトークンプロファイルおよびSAMLアサーシ...
**5-5 SAMLアサーションでConditionsエレメントを使用する場...
SAMLアサーションで<Conditions>要素を使用するときに、<NotB...
**5-6 WS-Securityで保護されたメッセージは、作成および有効...
WS-Securityメッセージを使用してアプリケーションを設計およ...
**5-7 アプリケーションは、PKIベースの認証を使用する場合、...
アプリケーションまたは関連するアクセス制御メカニズムを構...
**5-8 アプリケーションは、パスワード/ PINをクリアテキスト...
入力時にパスワードとPINが難読化され、読み取れないようにア...
難読化されたパスワードをコピーしてクリアテキストとして貼...
**5-9 アプリケーションは、PKIベースの認証を利用する場合、...
PKIベースの認証を使用する場合、受け入れられたトラストアン...
**5-10 アプリケーションは、15文字以上のパスワード長を強制...
パスワードに15文字を要求するようにアプリケーションを構成...
アプリケーションは、設定されるパスワードに、IDが含まれて...
**5-11 アプリケーションは、過度のアカウント権限なしで実行...
最小限の特権でアプリケーションアカウントを構成する。アプ...
**5-12 デフォルトのパスワードを変更する。 [#l39032d0]
可能な場合、パスワードの代わりに強力な認証システムを使用...
デフォルトのパスワードには、P@ssw0rd、pass、製品名などの...
**5-13 アプリケーションは、アクセス制御ポリシーに従って、...
アプリケーションリソースへのアクセス承認を強制する。
**5-14 アプリケーションは、組織ユーザー(または組織ユーザ...
ユーザーおよびユーザープロセスを一意に識別および認証する...
**5-15 アプリケーションは、パスワードの暗号表現のみを保存...
パスワードハッシュ値を作成するときは、強力な暗号化ハッシ...
パスワードハッシュの作成時にランダムなソルト値を使用する。
認証データを含むデータファイルの強力なアクセス制御許可を...
*6. ネットワーク構成 [#yf3f8537]
**6-1 アプリケーションWebサーバーは、DMZで動作する階層型...
他のアプリケーション層からWebサーバーを分離し、DMZデータ...
ページ名:
