情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V8 データ保護検証の要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#cc6464d5]
データ保護を適切に行うには次の 3つの要素を考慮する必要が...
アプリケーションは「ユーザデバイスはどれも完全には信頼で...
検証対象のアプリケーションが次の高次のデータ保護要件を満...
-機密性:送信と保存の両方で認可されていない監視や開示から...
-完全性:攻撃者による悪意のある作成,変更,削除からデータ...
-可用性:必要なときにデータが許可されたユーザに提供される
**V8.1 一般的なデータ保護 [#rdb60d68]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|8.1.1|アプリケーションは機密データをロードバランサやアプ...
|8.1.2|サーバ上に保存されている機密データの、すべてのキャ...
|8.1.3|1 リクエスト中に含まれるパラメータの数(非表示フィ...
|8.1.4|アプリケーションが、IP 、ユーザ、1時間または1日あ...
|8.1.5|重要なデータの定期的なバックアップが実行され、デー...
|8.1.6|データの盗難や破損を防ぐために、バックアップがセキ...
&br;
**V8.2 クライアントサイドのデータ保護 [#k908aa30]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|8.2.1|最新のブラウザで機密データがキャッシュされないよう...
|8.2.2|クライアントの記憶域(HTML5 のローカルストレージ、...
|8.2.3|セッションの終了後、ブラウザの DOM など認証された...
&br;
**V8.3 機密性の高い個人データ [#sdf86cff]
このセクションは、特に大量の場合、センシティブなデータを...
このセクションへの準拠は V4 アクセス制御、特に V4.2 への...
注: オーストラリアのプライバシー原則 APP-11 や GDPR など...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|8.3.1|センシティブなデータが HTTP メッセージボディまたは...
|8.3.2|ユーザが自身のデータをオンデマンドで、削除またはエ...
|8.3.3|個人情報の収集および利用に関する明確なポリシーが、...
|8.3.4|アプリケーションにより作成および処理される、すべて...
|8.3.5|データが関連するデータ保護規制の下で収集されている...
|8.3.6|メモリダンプ攻撃を軽減するため、メモリに保持された...
|8.3.7|暗号化を必要とするセンシティブなもしくは個人情報は...
|8.3.8|センシティブな個人情報は、古いデータや期限切れのデ...
データ保護を検討する際には、主に一括抽出、一括変更、過度...
&br;
*参考情報 [#h425fee3]
詳しくは以下の情報を参照してください。
-Consider using Security Headers website to check securit...
-OWASP Secure Headers project : https://www.owasp.org/ind...
-OWASP Privacy Risks Project : https://www.owasp.org/inde...
-OWASP User Privacy Protection Cheat Sheet : https://www....
-European Union General Data Protection Regulation (GDPR)...
-European Union Data Protection Supervisor - Internet Pri...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#cc6464d5]
データ保護を適切に行うには次の 3つの要素を考慮する必要が...
アプリケーションは「ユーザデバイスはどれも完全には信頼で...
検証対象のアプリケーションが次の高次のデータ保護要件を満...
-機密性:送信と保存の両方で認可されていない監視や開示から...
-完全性:攻撃者による悪意のある作成,変更,削除からデータ...
-可用性:必要なときにデータが許可されたユーザに提供される
**V8.1 一般的なデータ保護 [#rdb60d68]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|8.1.1|アプリケーションは機密データをロードバランサやアプ...
|8.1.2|サーバ上に保存されている機密データの、すべてのキャ...
|8.1.3|1 リクエスト中に含まれるパラメータの数(非表示フィ...
|8.1.4|アプリケーションが、IP 、ユーザ、1時間または1日あ...
|8.1.5|重要なデータの定期的なバックアップが実行され、デー...
|8.1.6|データの盗難や破損を防ぐために、バックアップがセキ...
&br;
**V8.2 クライアントサイドのデータ保護 [#k908aa30]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|8.2.1|最新のブラウザで機密データがキャッシュされないよう...
|8.2.2|クライアントの記憶域(HTML5 のローカルストレージ、...
|8.2.3|セッションの終了後、ブラウザの DOM など認証された...
&br;
**V8.3 機密性の高い個人データ [#sdf86cff]
このセクションは、特に大量の場合、センシティブなデータを...
このセクションへの準拠は V4 アクセス制御、特に V4.2 への...
注: オーストラリアのプライバシー原則 APP-11 や GDPR など...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|8.3.1|センシティブなデータが HTTP メッセージボディまたは...
|8.3.2|ユーザが自身のデータをオンデマンドで、削除またはエ...
|8.3.3|個人情報の収集および利用に関する明確なポリシーが、...
|8.3.4|アプリケーションにより作成および処理される、すべて...
|8.3.5|データが関連するデータ保護規制の下で収集されている...
|8.3.6|メモリダンプ攻撃を軽減するため、メモリに保持された...
|8.3.7|暗号化を必要とするセンシティブなもしくは個人情報は...
|8.3.8|センシティブな個人情報は、古いデータや期限切れのデ...
データ保護を検討する際には、主に一括抽出、一括変更、過度...
&br;
*参考情報 [#h425fee3]
詳しくは以下の情報を参照してください。
-Consider using Security Headers website to check securit...
-OWASP Secure Headers project : https://www.owasp.org/ind...
-OWASP Privacy Risks Project : https://www.owasp.org/inde...
-OWASP User Privacy Protection Cheat Sheet : https://www....
-European Union General Data Protection Regulation (GDPR)...
-European Union Data Protection Supervisor - Internet Pri...
ページ名:
