情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V1 アーキテクチャ、設計、脅威モデリングの要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#t15c74af]
セキュリティアーキテクチャは多くの組織で失われた技術とな...
Web アプリケーションの特定の実装はそのライフタイムを通じ...
開発者が SAML フェデレーションアイデンティティなどの単一...
本章では、ASVS は妥当なセキュリティアーキテクチャの主要な...
&br;
*V1.1安全なソフトウェア開発ライフサイクル要件 [#iefc3a92]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.1.1|開発すべての段階でセキュアソフトウェア開発ライフサ...
|1.1.2|脅威を特定し、対策を計画し、適切なリスク対応を促進...
|1.1.3|すべてのユーザストーリーおよび機能に、「ユーザが、...
|1.1.4|すべてのアプリケーションの信頼境界線、コンポーネン...
|1.1.5|アプリケーションの高レベルアーキテクチャおよびすべ...
|1.1.6|重複や欠落がある、非効果的な、もしくはセキュアでな...
|1.1.7|セキュアコーディングチェックリスト、セキュリティ要...
&br;
*V1.2認証のアーキテクチャ要件 [#veb71a6c]
認証を設計する際、攻撃者がコールセンターを呼び出して一般...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.2.1|すべてのアプリケーションコンポーネント、サービスお...
|1.2.2|API、ミドルウェア、データ層などのアプリケーション...
|1.2.3|セキュアであることが知られており、強力な認証を含む...
|1.2.4|アプリケーションのリスクごとに、弱い代替の認証が存...
&br;
*V1.3 セッション管理アーキテクチャ要件 [#qfa28b49]
これは将来のアーキテクチャ要件のためのプレースホルダです
&br;
*V1.4 アクセス制御アーキテクチャ要件 [#tafdeae1]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.4.1|アクセス制御ゲートウェイ、サーバ、サーバレス機能な...
|1.4.2|選択したアクセス制御ソリューションがアプリケーショ...
|1.4.3|機能、データファイル、URL、コントローラ、サービス...
|1.4.4|保護されたデータやリソースにアクセスするために、ア...
|1.4.5|属性または機能ベースのアクセス制御が使用されており...
&br;
*V1.5 入力および出力アーキテクチャ要件 [#t6ffadbb]
4.0 では、意味のある信頼境界線の用語として「サーバサイド...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.5.1|入出力要件が、データの種類や内容および適用法、規制...
|1.5.2|信頼できないクライアントと通信するときにシリアライ...
|1.5.3|信頼できるサービスレイヤで入力の妥当性確認が実施さ...
|1.5.4|アウトプットエンコーディングが意図されているインタ...
&br;
*V1.6 暗号アーキテクチャ要件 [#q0c5c8c1]
アプリケーションは分類に従ってデータ資産を保護するために...
アーキテクチャ要件はコードベース全体に内在するため、単体...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.6.1|暗号鍵の管理に関する明示的なポリシーがあり、暗号鍵...
|1.6.2|暗号化サービスの利用者が、Key Vault またはAPIベー...
|1.6.3|すべての鍵とパスワードが置き換え可能であり、機密デ...
|1.6.4|クライアントによって生成されたまたはクライアントと...
&br;
*V1.7 エラー、ロギング、監査アーキテクチャ要件 [#f3b09349]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.7.1|システム全体で共通のログ形式とアプローチが使用され...
|1.7.2|分析、検出、警告、およびエスカレーションのために、...
&br;
*V1.8 データ保護とプライバシーアーキテクチャ要件 [#lcf467...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.8.1|すべての機密データが識別され、保護レベルごとに分類...
|1.8.2|暗号化要件、完全性要件、保存期間、プライバシー、そ...
&br;
*V1.9 通信アーキテクチャ要件 [#m11f448a]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.9.1|特にコンポーネントが異なるコンテナ、システム、サイ...
|1.9.2|中間者攻撃を防ぐために、アプリケーションコンポーネ...
&br;
*V1.10 悪意あるソフトウェアのアーキテクチャ要件 [#a4641fda]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.10.1|チェックインが、イシューや変更チケットによること...
&br;
*V1.11 ビジネスロジックアーキテクチャ要件 [#k23aabdd]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.11.1|提供するビジネスまたはセキュリティ機能の観点で、...
|1.11.2|認証、セッション管理、アクセス制御を含むすべての...
|1.11.3|認証、セッション管理、アクセス制御などを含む重要...
&br;
*V1.12 セキュアファイルアップロードアーキテクチャ要件 [#l...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.12.1|ユーザがアップロードしたファイルがWebルートの外部...
|1.12.2|ユーザがアップロードしたファイル(表示またはアプ...
&br;
*V1.13 APIアーキテクチャ要件 [#iebb580f]
これは将来のアーキテクチャ要件のためのプレースホルダです。
&br;
*V1.14 コンフィギュレーションアーキテクチャ要件 [#u076854d]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.14.1|すべてのアプリケーションコンポーネント、サービス...
|1.14.2|信頼できないデバイスにバイナリを展開する場合は、...
|1.14.3|ビルドパイプラインが、古いまたはセキュアでないコ...
|1.14.4|特にクラウド環境のビルドスクリプトなどアプリケー...
|1.14.5|特に機密性が高い、またはデシリアライゼーションな...
|1.14.6|NSAPIプラグイン、Flash、Shockwave、ActiveX、Silve...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#t15c74af]
セキュリティアーキテクチャは多くの組織で失われた技術とな...
Web アプリケーションの特定の実装はそのライフタイムを通じ...
開発者が SAML フェデレーションアイデンティティなどの単一...
本章では、ASVS は妥当なセキュリティアーキテクチャの主要な...
&br;
*V1.1安全なソフトウェア開発ライフサイクル要件 [#iefc3a92]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.1.1|開発すべての段階でセキュアソフトウェア開発ライフサ...
|1.1.2|脅威を特定し、対策を計画し、適切なリスク対応を促進...
|1.1.3|すべてのユーザストーリーおよび機能に、「ユーザが、...
|1.1.4|すべてのアプリケーションの信頼境界線、コンポーネン...
|1.1.5|アプリケーションの高レベルアーキテクチャおよびすべ...
|1.1.6|重複や欠落がある、非効果的な、もしくはセキュアでな...
|1.1.7|セキュアコーディングチェックリスト、セキュリティ要...
&br;
*V1.2認証のアーキテクチャ要件 [#veb71a6c]
認証を設計する際、攻撃者がコールセンターを呼び出して一般...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.2.1|すべてのアプリケーションコンポーネント、サービスお...
|1.2.2|API、ミドルウェア、データ層などのアプリケーション...
|1.2.3|セキュアであることが知られており、強力な認証を含む...
|1.2.4|アプリケーションのリスクごとに、弱い代替の認証が存...
&br;
*V1.3 セッション管理アーキテクチャ要件 [#qfa28b49]
これは将来のアーキテクチャ要件のためのプレースホルダです
&br;
*V1.4 アクセス制御アーキテクチャ要件 [#tafdeae1]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.4.1|アクセス制御ゲートウェイ、サーバ、サーバレス機能な...
|1.4.2|選択したアクセス制御ソリューションがアプリケーショ...
|1.4.3|機能、データファイル、URL、コントローラ、サービス...
|1.4.4|保護されたデータやリソースにアクセスするために、ア...
|1.4.5|属性または機能ベースのアクセス制御が使用されており...
&br;
*V1.5 入力および出力アーキテクチャ要件 [#t6ffadbb]
4.0 では、意味のある信頼境界線の用語として「サーバサイド...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.5.1|入出力要件が、データの種類や内容および適用法、規制...
|1.5.2|信頼できないクライアントと通信するときにシリアライ...
|1.5.3|信頼できるサービスレイヤで入力の妥当性確認が実施さ...
|1.5.4|アウトプットエンコーディングが意図されているインタ...
&br;
*V1.6 暗号アーキテクチャ要件 [#q0c5c8c1]
アプリケーションは分類に従ってデータ資産を保護するために...
アーキテクチャ要件はコードベース全体に内在するため、単体...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.6.1|暗号鍵の管理に関する明示的なポリシーがあり、暗号鍵...
|1.6.2|暗号化サービスの利用者が、Key Vault またはAPIベー...
|1.6.3|すべての鍵とパスワードが置き換え可能であり、機密デ...
|1.6.4|クライアントによって生成されたまたはクライアントと...
&br;
*V1.7 エラー、ロギング、監査アーキテクチャ要件 [#f3b09349]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.7.1|システム全体で共通のログ形式とアプローチが使用され...
|1.7.2|分析、検出、警告、およびエスカレーションのために、...
&br;
*V1.8 データ保護とプライバシーアーキテクチャ要件 [#lcf467...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.8.1|すべての機密データが識別され、保護レベルごとに分類...
|1.8.2|暗号化要件、完全性要件、保存期間、プライバシー、そ...
&br;
*V1.9 通信アーキテクチャ要件 [#m11f448a]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.9.1|特にコンポーネントが異なるコンテナ、システム、サイ...
|1.9.2|中間者攻撃を防ぐために、アプリケーションコンポーネ...
&br;
*V1.10 悪意あるソフトウェアのアーキテクチャ要件 [#a4641fda]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.10.1|チェックインが、イシューや変更チケットによること...
&br;
*V1.11 ビジネスロジックアーキテクチャ要件 [#k23aabdd]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.11.1|提供するビジネスまたはセキュリティ機能の観点で、...
|1.11.2|認証、セッション管理、アクセス制御を含むすべての...
|1.11.3|認証、セッション管理、アクセス制御などを含む重要...
&br;
*V1.12 セキュアファイルアップロードアーキテクチャ要件 [#l...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.12.1|ユーザがアップロードしたファイルがWebルートの外部...
|1.12.2|ユーザがアップロードしたファイル(表示またはアプ...
&br;
*V1.13 APIアーキテクチャ要件 [#iebb580f]
これは将来のアーキテクチャ要件のためのプレースホルダです。
&br;
*V1.14 コンフィギュレーションアーキテクチャ要件 [#u076854d]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|1.14.1|すべてのアプリケーションコンポーネント、サービス...
|1.14.2|信頼できないデバイスにバイナリを展開する場合は、...
|1.14.3|ビルドパイプラインが、古いまたはセキュアでないコ...
|1.14.4|特にクラウド環境のビルドスクリプトなどアプリケー...
|1.14.5|特に機密性が高い、またはデシリアライゼーションな...
|1.14.6|NSAPIプラグイン、Flash、Shockwave、ActiveX、Silve...
ページ名:
