アーカイブ

  1. トップページ
  2. アーカイブ
  3. 情報セキュリティ
  4. 脆弱性対策情報
  5. セキュア・プログラミング講座
  6. 早めのチェック 3工程によるセキュリティ品質確保(2010年8月)

早めのチェック 3工程によるセキュリティ品質確保(2010年8月)

公開日:2010年4月16日

最終更新日:2010年8月13日

本ページの情報は2010年8月時点のものです。
記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。

ダウンロード

このコンテンツは、「セキュア・プログラミング講座 Webアプリケーション編」を元にした 3回コースのセミナー講座形式のテキストおよび補助資料であり、次の6つのファイルから成る。

  1. 講座テキスト「はじめに - 脆弱性の分類と開発工程」(PDF:514 KB)
  2. 講座テキスト「第1回 要件定義工程における保護対象の識別が重要である対策」(PDF:513 KB)
  3. 講座テキスト「第2回 設計工程における考慮が重要である対策」(PDF:562 KB)
  4. 講座テキスト「第3回 主に実装工程で実施する対策」(PDF:598 KB)
  5. Webアプリケーション脆弱性対策チェックリスト(PDF:328 KB)
  6. 用語解説(PDF:301 KB)

品質保証部門向けコンテンツ

この講座は、「上流から保証する脆弱性予防」と題して、Webアプリケーション開発に関わる品質保証部門に向けた脆弱性対策解説とチェックリストを提供するものである。この内容は、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性対策に、脆弱性の特性を考慮した工程への配置の観点を加えた「3回コース」のセミナ講座テキストおよび補助資料から成る。

  • 上流から保証する脆弱性予防イメージ

脆弱性対策と上流工程

これまでの「セキュア・プログラミング講座」の中で既に触れていることであるが、テスト工程になってから脆弱性対策を行うことは、いったん作ってしまったソフトウェアを後から修正することになり手戻りが多く、品質、コスト、納期の点において大きな不利が生じる。他の品質不良対策と同じく、脆弱性対策も開発の上流工程から着手することが重要である。

どの工程から対策に着手するのが相応しいかは脆弱性の種類によって異なる。このコンテンツでは脆弱性を次の3つのグループに分けている。

  1. 要件定義工程における保護対象の識別が重要であるもの
  2. 設計工程における考慮が重要であるもの
  3. 主に実装工程において対策を実施すればよいもの

脆弱性の特性の違い

上記のようにどの対策をどの工程で行うかを決めることをはじめとして、開発の現場において脆弱性対策計画を策定する際、Webアプリケーションの脆弱性を、それぞれがもつ次のような特性の違いに着目して分類整理することをこのコンテンツでは提案している。

危険度:

深刻な被害を及ぼすもの ⇔ 軽微なもの 〔優先順位にかかわる〕

要警戒箇所(の多さ):

アプリケーション中の多くの箇所に発生するおそれのあるもの ⇔ ごく一部の箇所にしか発生し得ないもの 〔対策漏れの警戒の必要性の高さや共通部品の効果の高さにかかわる〕

問題の複雑さ:

攻撃と防御の仕組みが複雑なもの ⇔ 単純なもの 〔対策を行う工程にかかわる〕

これらの観点についてはコンテンツ本体の、講座テキスト「はじめに──脆弱性の分類と開発工程」で触れている。

更新履歴

  • 2010年8月13日

    「Webアプリケーション脆弱性対策チェックリスト」を更新

  • 2010年7月9日

    「Webアプリケーション脆弱性対策チェックリスト」を更新

  • 2010年6月11日

    「Webアプリケーション脆弱性対策チェックリスト」を更新

  • 2010年4月16日

    掲載