HOME >> 情報セキュリティ >> 調査・研究報告書 >> 記事

早めのチェック 3工程によるセキュリティ品質確保

最終更新日 2010年 8月13日

独立行政法人 情報処理推進機構
セキュリティセンター

 

ダウンロード

このコンテンツは、「セキュア・プログラミング講座 Webアプリケーション編」を元にした 3回コースのセミナー講座形式のテキストおよび補助資料であり、次の6つのファイルから成る。

  1. 講座テキスト「はじめに - 脆弱性の分類と開発工程」 pdf
  2. 講座テキスト「第1回 要件定義工程における保護対象の識別が重要である対策」pdf
  3. 講座テキスト「第2回 設計工程における考慮が重要である対策」 pdf
  4. 講座テキスト「第3回 主に実装工程で実施する対策」 pdf
  5. Webアプリケーション脆弱性対策チェックリスト pdf
  6. 用語解説 pdf

品質保証部門向けコンテンツ

この講座は、「上流から保証する脆弱性予防」と題して、Webアプリケーション開発に関わる品質保証部門に向けた脆弱性対策解説とチェックリストを提供するものである。この内容は、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性対策に、脆弱性の特性を考慮した工程への配置の観点を加えた「3回コース」のセミナ講座テキストおよび補助資料から成る。

上流から保証する脆弱性予防

脆弱性対策と上流工程

これまでの「セキュア・プログラミング講座」の中で既に触れていることであるが、テスト工程になってから脆弱性対策を行うことは、いったん作ってしまったソフトウェアを後から修正することになり手戻りが多く、品質、コスト、納期の点において大きな不利が生じる。他の品質不良対策と同じく、脆弱性対策も開発の上流工程から着手することが重要である。

どの工程から対策に着手するのが相応しいかは脆弱性の種類によって異なる。このコンテンツでは脆弱性を次の3つのグループに分けている。

  1. 要件定義工程における保護対象の識別が重要であるもの
  2. 設計工程における考慮が重要であるもの
  3. 主に実装工程において対策を実施すればよいもの

脆弱性の特性の違い

上記のようにどの対策をどの工程で行うかを決めることをはじめとして、開発の現場において脆弱性対策計画を策定する際、Webアプリケーションの脆弱性を、それぞれがもつ次のような特性の違いに着目して分類整理することをこのコンテンツでは提案している。

  • 危険度: 深刻な被害を及ぼすもの ⇔ 軽微なもの 〔優先順位にかかわる〕
  • 要警戒箇所(の多さ): アプリケーション中の多くの箇所に発生するおそれのあるもの ⇔ ごく一部の箇所にしか発生し得ないもの 〔対策漏れの警戒の必要性の高さや共通部品の効果の高さにかかわる〕
  • 問題の複雑さ: 攻撃と防御の仕組みが複雑なもの ⇔ 単純なもの 〔対策を行う工程にかかわる〕

これらの観点についてはコンテンツ本体の、講座テキスト「はじめに──脆弱性の分類と開発工程」で触れている。

更新履歴:

2010年 8月13日 「Webアプリケーション脆弱性対策チェックリスト」を更新
2010年 7月 9日 「Webアプリケーション脆弱性対策チェックリスト」を更新
2010年 6月11日 「Webアプリケーション脆弱性対策チェックリスト」を更新
2010年 4月16日 掲載