📗
owasp-asvs-ja
  • OWASP Application Security Verification Standard ja
  • OWASP アプリケーションセキュリティ検証標準 5.0 日本語版
    • 口絵
    • 序文
    • ASVS とは何か?
    • 監査と認証
    • v4.x と比較した変更点
    • V1: エンコーディングとサニタイゼーション
    • V2: バリデーションとビジネスロジック
    • V3: Web フロントエンドセキュリティ
    • V4: API と Web サービス
    • V5: ファイル処理
    • V6: 認証
    • V7: セッション管理
    • V8: 認可
    • V9: 自己完結型トークン
    • V10: OAuth と OIDC
    • V11: 暗号化
    • V12: 安全な通信
    • V13: 構成
    • V14: データ保護
    • V15: セキュアコーディングとアーキテクチャ
    • V16: セキュリティログ記録とエラー処理
    • V17: WebRTC
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 V: 暗号化標準
    • 付録 X: 推奨事項
  • OWASP アプリケーションセキュリティ検証標準 4.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • V1: アーキテクチャ、設計、脅威モデリング
    • V2: 認証
    • V3: セッション管理
    • V4: アクセス制御
    • V5: バリデーション、サニタイゼーション、エンコーディング
    • V6: 保存時における暗号化
    • V7: エラー処理とログ記録
    • V8: データ保護
    • V9: 通信
    • V10: 悪意あるコード
    • V11: ビジネスロジック
    • V12: ファイルとリソース
    • V13: API と Web サービス
    • V14: 構成
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 C: Internet of Things の検証要件
Powered by GitBook
On this page
  • 管理目標
  • V9.1 クライアント通信セキュリティ
  • V9.2 サーバ通信セキュリティ
  • 参考情報

Was this helpful?

  1. OWASP アプリケーションセキュリティ検証標準 4.0 日本語版

V9: 通信

管理目標

検証対象のアプリケーションが以下の上位要件を満たすことを確認します。

  • コンテンツの機密性に関わらず、TLS または強力な暗号化を必要としています。

  • 以下のような最新のガイダンスに従っています。

    • 構成アドバイス

    • 優先アルゴリズムと暗号化方式

  • 最後の手段を除いて、脆弱または近いうちに廃止予定のアルゴリズムおよび暗号化方式を避けています。

  • 非推奨または既知のセキュアでないアルゴリズムおよび暗号化方式を無効化しています。

これらの要件を満たすために:

  • セキュアな TLS 構成に関する業界の推奨事項は、(多くの場合、既存のアルゴリズムと暗号化方式の壊滅的な破壊が原因で) 頻繁に変更されるため、最新の状態に保ちます。

  • 最新バージョンの TLS 構成レビューツールを使用して、優先順位およびアルゴリズム選択を設定します。

  • 構成を定期的にチェックし、セキュアな通信が常に存在し有効であることを確認します。

V9.1 クライアント通信セキュリティ

すべてのクライアントメッセージは TLS 1.2 以降を使用して、暗号化されたネットワーク上で送信されるようにします。 最新のツールを使用して、クライアント構成を定期的にレビューします。

#
説明
L1
L2
L3
CWE

9.1.1

✓

✓

✓

319

9.1.2

最新の TLS テストツールを使用して、強力な暗号スイートのみが有効であり、最も強力な暗号スイートが優先的に設定されている。

✓

✓

✓

326

9.1.3

TLS 1.2 や TLS 1.3 など、最新の推奨バージョンの TLS プロトコルのみが有効である。最新バージョンの TLS プロトコルが優先オプションである。

✓

✓

✓

326

V9.2 サーバ通信セキュリティ

サーバ通信は HTTP だけではありません。監視システム、管理ツール、リモートアクセスと ssh 、ミドルウェア、データベース、メインフレーム、パートナー、既存のソースシステムなど、他のシステムとのセキュアな接続を確立する必要があります。「外側は堅牢だが、内側は傍受しやすい」ことを防ぐために、これらはすべて暗号化する必要があります。

#
説明
L1
L2
L3
CWE

9.2.1

サーバとの接続には信頼できる TLS 証明書が使用されている。内部生成証明書や自己署名証明書が使用されている場合、サーバは特定の内部 CA および特定の自己署名証明書のみを信頼するように構成する必要がある。それ以外はすべて拒否される。

✓

✓

295

9.2.2

管理ポート、監視、認証、API、Web サービス呼び出し、データベース、クラウド、サーバレス、メインフレーム、外部、パートナー接続を含む、すべてのインバウンド接続およびアウトバウンド接続に、TLS などの暗号化通信が使用されている。サーバはセキュアではないプロトコルや暗号化されていないプロトコルにフォールバックしてはいけない。

✓

✓

319

9.2.3

機密情報や機密機能を含む外部システムへのすべての暗号化接続が認証されている。

✓

✓

287

9.2.4

オンライン証明書ステータスプロトコル (OSCP) ステープルなどの適切な証明書失効が有効かつ構成されている。

✓

✓

299

9.2.5

バックエンド TLS 接続失敗がログに記録されている。

✓

544

参考情報

詳しくは以下の情報を参照してください。

  • 「TLS の承認されたモード」に関する注意:

    • これまで ASVS は米国規格 FIPS 140-2 を参照していましたが、グローバル規格として US 規格の適用は困難、矛盾、混乱の可能性があります。

PreviousV8: データ保護NextV10: 悪意あるコード

Last updated 4 months ago

Was this helpful?

TLS がすべてのクライアント接続に使用されており、セキュアではない通信や暗号化されていない通信にフォールバックしない。 ()

セクション 9.1 に準拠するより良い方法は や などのガイドを見直し、望ましいセキュリティレベルを得るために、既知で最新の TLS 評価ツールを使用することです。

OWASP – TLS Cheat Sheet
OWASP - Pinning Guide
Mozilla's Server Side TLS
既知の良い構成を生成する
C8