情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V7 エラー処理とロギング検証の要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#z9069a77]
エラー処理とログ記録の主な目的は、ユーザ、管理者、インシ...
高品質のログには機密データが含まれていることが多く、現地...
-特に必要とされない限り、機密情報の収集やロギングを行わな...
-すべてのログ情報が安全に処理され、データ分類に従って保護...
-ログは永久に保存せず、可能な限り短い絶対的な寿命を持つよ...
定義は国によって異なりますが、ログに個人情報や機密性の高...
また、アプリケーションが安全に失敗し、エラーが不必要な情...
&br;
**V7.1 ログ内容の要件 [#v4dcd14a]
機密情報をログに記録するのは危険です。ログそのものが機密...
V7.1はOWASP Top 10 2017:A10をカバーしています。2017:A10と...
-開発者は、このセクションでL1とマークされているすべての項...
-ペネトレーションテスターは、インタビューやスクリーンショ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|7.1.1|アプリケーションがクレデンシャルまたは支払い情報を...
|7.1.2|現地のプライバシー法または関連するセキュリティポリ...
|7.1.3|成功および失敗した認証イベント、アクセス制御の失敗...
|7.1.4|各ログのイベントには、イベント発生時のタイムライン...
&br;
**V7.2 ログ処理の要件 [#u64a7a9d]
タイムリーなログ記録は、監査イベント、トリアージおよびエ...
V7.2はOWASP Top 10 2017:A10をカバーしています。2017:A10と...
-開発者は、このセクションでL1とマークされているすべての項...
-ペネトレーションテスターは、インタビューやスクリーンショ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|7.2.1|センシティブなセッションIDやパスワードを保存せずに...
|7.2.2|すべてのアクセス制御判定がログに記録され、失敗した...
**V7.3 ログ保護の要件 [#wa5a3296]
簡単に変更や削除が可能なログは、調査や訴追には使えません...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|7.3.1|ログインジェクションを防ぐためにユーザ指定のデータ...
|7.3.2|ログ閲覧ソフトウェアで表示したときに、すべてのイベ...
|7.3.3|セキュリティログが不正なアクセスや改変から保護され...
|7.3.4|時刻源が正しい時間と正しいタイムゾーンに同期されて...
注:ログのエンコーディング(7.3.1)は、自動化された動的ツ...
&br;
**V7.4 エラー処理 [#fa37fee2]
エラー処理の目的は、アプリケーションが監視やトリアージお...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|7.4.1|予期しないエラーまたはセキュリティ上重要なエラーが...
|7.4.2|予期されるエラーおよび予期されないエラー状態を説明...
|7.4.3|未処理の例外をすべて捕捉する「最後の手段」となるエ...
注:SwiftやGoのような特定の言語や(および一般的な設計手法...
*参考情報 [#d4a9e9ec]
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0 content: Testing for Error Handl...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#z9069a77]
エラー処理とログ記録の主な目的は、ユーザ、管理者、インシ...
高品質のログには機密データが含まれていることが多く、現地...
-特に必要とされない限り、機密情報の収集やロギングを行わな...
-すべてのログ情報が安全に処理され、データ分類に従って保護...
-ログは永久に保存せず、可能な限り短い絶対的な寿命を持つよ...
定義は国によって異なりますが、ログに個人情報や機密性の高...
また、アプリケーションが安全に失敗し、エラーが不必要な情...
&br;
**V7.1 ログ内容の要件 [#v4dcd14a]
機密情報をログに記録するのは危険です。ログそのものが機密...
V7.1はOWASP Top 10 2017:A10をカバーしています。2017:A10と...
-開発者は、このセクションでL1とマークされているすべての項...
-ペネトレーションテスターは、インタビューやスクリーンショ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|7.1.1|アプリケーションがクレデンシャルまたは支払い情報を...
|7.1.2|現地のプライバシー法または関連するセキュリティポリ...
|7.1.3|成功および失敗した認証イベント、アクセス制御の失敗...
|7.1.4|各ログのイベントには、イベント発生時のタイムライン...
&br;
**V7.2 ログ処理の要件 [#u64a7a9d]
タイムリーなログ記録は、監査イベント、トリアージおよびエ...
V7.2はOWASP Top 10 2017:A10をカバーしています。2017:A10と...
-開発者は、このセクションでL1とマークされているすべての項...
-ペネトレーションテスターは、インタビューやスクリーンショ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|7.2.1|センシティブなセッションIDやパスワードを保存せずに...
|7.2.2|すべてのアクセス制御判定がログに記録され、失敗した...
**V7.3 ログ保護の要件 [#wa5a3296]
簡単に変更や削除が可能なログは、調査や訴追には使えません...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|7.3.1|ログインジェクションを防ぐためにユーザ指定のデータ...
|7.3.2|ログ閲覧ソフトウェアで表示したときに、すべてのイベ...
|7.3.3|セキュリティログが不正なアクセスや改変から保護され...
|7.3.4|時刻源が正しい時間と正しいタイムゾーンに同期されて...
注:ログのエンコーディング(7.3.1)は、自動化された動的ツ...
&br;
**V7.4 エラー処理 [#fa37fee2]
エラー処理の目的は、アプリケーションが監視やトリアージお...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|7.4.1|予期しないエラーまたはセキュリティ上重要なエラーが...
|7.4.2|予期されるエラーおよび予期されないエラー状態を説明...
|7.4.3|未処理の例外をすべて捕捉する「最後の手段」となるエ...
注:SwiftやGoのような特定の言語や(および一般的な設計手法...
*参考情報 [#d4a9e9ec]
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0 content: Testing for Error Handl...
ページ名:
