情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V6 保存された暗号検証の要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#v84d67e9]
検証されたアプリケーションが以下の高レベルの要件を満たし...
-すべての暗号モジュールが安全な方法で失敗し、エラーが正し...
-適切な乱数発生器が使用されていること
-鍵へのアクセスが安全に管理されていること
**V6.1 データ分類 [#d9a61e87]
最も重要な資産は、アプリケーションによって処理、保存、ま...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|6.1.1|個人を特定できる情報(PII)、センシティブな個人情...
|6.1.2|医療記録、医療機器の詳細、匿名化されていない調査記...
|6.1.3|金融口座、債務不履行やクレジットの履歴、税務記録、...
&br;
**V6.2 アルゴリズム [#ecd42bbb]
最近の暗号技術の進歩は、以前は安全だったアルゴリズムや鍵...
このセクションはペネトレーションテストが難しく、ほとんど...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|6.2.1|すべての暗号化モジュールにおいて、処理に失敗した場...
|6.2.2|独自実装された暗号化方式ではなく、業界で実績のある...
|6.2.3|最新の勧告を使用して、暗号初期化ベクトル、暗号設定...
|6.2.4|暗号の破壊から保護するため、乱数、暗号化またはハッ...
|6.2.5|既知の安全でないブロックモード(ECBなど)、パディ...
|6.2.6|ノンス、初期化ベクトル、およびその他の使い捨ての数...
|6.2.7|暗号化されたデータが署名、認証された暗号モード、ま...
|6.2.8|情報の漏洩を防ぐために、すべての暗号化操作が、比較...
&br;
**V6.3 乱数値 [#be3e5d1d]
真の疑似乱数生成(PRNG)を正しく行うことは非常に困難です。...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|6.3.1|すべての乱数、ランダムなファイル名、ランダムなGUID...
|6.3.2|ランダムなGUIDがGUID v4アルゴリズムと暗号的に安全...
|6.3.3|アプリケーションの負荷が高い状態であっても、乱数が...
&br;
**V6.4 シークレット管理 [#gd7c5a63]
このセクションはペネトレーションテストが難しく、ほとんど...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|6.4.1|鍵保管庫のような秘密情報管理ソリューションを、秘密...
|6.4.2|鍵マテリアルがアプリケーションに公開されていない。...
&br;
*参考情報 [#kac7860c]
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0: Testing for weak Cryptography :...
-OWASP Cheat Sheet: Cryptographic Storage : https://www.o...
-FIPS 140-2 : https://csrc.nist.gov/publications/detail/f...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#v84d67e9]
検証されたアプリケーションが以下の高レベルの要件を満たし...
-すべての暗号モジュールが安全な方法で失敗し、エラーが正し...
-適切な乱数発生器が使用されていること
-鍵へのアクセスが安全に管理されていること
**V6.1 データ分類 [#d9a61e87]
最も重要な資産は、アプリケーションによって処理、保存、ま...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|6.1.1|個人を特定できる情報(PII)、センシティブな個人情...
|6.1.2|医療記録、医療機器の詳細、匿名化されていない調査記...
|6.1.3|金融口座、債務不履行やクレジットの履歴、税務記録、...
&br;
**V6.2 アルゴリズム [#ecd42bbb]
最近の暗号技術の進歩は、以前は安全だったアルゴリズムや鍵...
このセクションはペネトレーションテストが難しく、ほとんど...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|6.2.1|すべての暗号化モジュールにおいて、処理に失敗した場...
|6.2.2|独自実装された暗号化方式ではなく、業界で実績のある...
|6.2.3|最新の勧告を使用して、暗号初期化ベクトル、暗号設定...
|6.2.4|暗号の破壊から保護するため、乱数、暗号化またはハッ...
|6.2.5|既知の安全でないブロックモード(ECBなど)、パディ...
|6.2.6|ノンス、初期化ベクトル、およびその他の使い捨ての数...
|6.2.7|暗号化されたデータが署名、認証された暗号モード、ま...
|6.2.8|情報の漏洩を防ぐために、すべての暗号化操作が、比較...
&br;
**V6.3 乱数値 [#be3e5d1d]
真の疑似乱数生成(PRNG)を正しく行うことは非常に困難です。...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|6.3.1|すべての乱数、ランダムなファイル名、ランダムなGUID...
|6.3.2|ランダムなGUIDがGUID v4アルゴリズムと暗号的に安全...
|6.3.3|アプリケーションの負荷が高い状態であっても、乱数が...
&br;
**V6.4 シークレット管理 [#gd7c5a63]
このセクションはペネトレーションテストが難しく、ほとんど...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|6.4.1|鍵保管庫のような秘密情報管理ソリューションを、秘密...
|6.4.2|鍵マテリアルがアプリケーションに公開されていない。...
&br;
*参考情報 [#kac7860c]
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0: Testing for weak Cryptography :...
-OWASP Cheat Sheet: Cryptographic Storage : https://www.o...
-FIPS 140-2 : https://csrc.nist.gov/publications/detail/f...
ページ名:
