📗
owasp-asvs-ja
  • OWASP Application Security Verification Standard ja
  • OWASP アプリケーションセキュリティ検証標準 5.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • バージョン 4.0 ユーザ向けのガイダンス
    • V1: エンコーディングとサニタイゼーション
    • V2: バリデーションとビジネスロジック
    • V3: Web フロントエンドセキュリティ
    • V4: API と Web サービス
    • V5: ファイル処理
    • V6: 認証
    • V7: セッション管理
    • V8: 認可
    • V9: 自己完結型トークン
    • V10: OAuth と OIDC
    • V11: 暗号化
    • V12: 安全な通信
    • V13: 構成
    • V14: データ保護
    • V15: セキュアコーディングとアーキテクチャ
    • V16: セキュリティログ記録とエラー処理
    • V17: WebRTC
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 V: 暗号化
    • 付録 X: 推奨事項
  • OWASP アプリケーションセキュリティ検証標準 4.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • V1: アーキテクチャ、設計、脅威モデリング
    • V2: 認証
    • V3: セッション管理
    • V4: アクセス制御
    • V5: バリデーション、サニタイゼーション、エンコーディング
    • V6: 保存時における暗号化
    • V7: エラー処理とログ記録
    • V8: データ保護
    • V9: 通信
    • V10: 悪意あるコード
    • V11: ビジネスロジック
    • V12: ファイルとリソース
    • V13: API と Web サービス
    • V14: 構成
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 C: Internet of Things の検証要件
Powered by GitBook
On this page
  • はじめに
  • ASVS バージョン 5.0 の主な目的
  • 明確な要件セット
  • 標準のスコープを明確にすること
  • レベル定義の改善
  • ドキュメントを簡素化すること
  • 採用を促進する使いやすさ

Was this helpful?

  1. OWASP アプリケーションセキュリティ検証標準 5.0 日本語版

序文

アプリケーションセキュリティ検証標準 (ASVS) バージョン 5.0 へようこそ!

はじめに

ASVS は、2008 年にコミュニティの共同作業を通じて制定され、現代の Web アプリケーションと Web サービスを設計、開発、テストする際に考慮すべきセキュリティ要件を定義しています。

ASVS バージョン 5.0 は、この重要な標準を更新および改善するために、リーダー、ワーキンググループ、その他のコミュニティメンバーが行ってきた多大な労力の集大成です。

このバージョンでの目標は ASVS を使いやすくすると同時に、定義されたスコープを明確に絞り込み、アプリケーション開発の新しい重要な領域をカバーすることです。

ASVS バージョン 5.0 の主な目的

バージョン 5.0 はいくつかの重要な原則を念頭に置いて開発されました。

明確な要件セット

バージョン 5.0 の要件は以下の考慮事項に基づいて用意されました。

  • コントロールやコンセプトが複数の場所に分割されることを避けるため、要件の重複を積極的に排除します。

  • 不明瞭であったり実行不可能である要件テキストを明確にします。

  • パーミッション、トークン、暗号化など、特に懸念される領域をカバーするために、新しい要件を追加します。

  • すべてのアプリケーションに適用されるわけではありませんが、セキュリティに重要な領域 (OAuth や WebSocket など) について、新しい章とセクションを導入します。

標準のスコープを明確にすること

すべての要件が標準の定義されたスコープに関連しており、標準の目標に合致するように表現されていることが重要です。このためのガイドラインは以下のとおりです。

  • すべての要件が Web アプリケーションやサービスのスコープ内であることを確保します。

  • 要件が ASVS の名称に合致していることを検証します。具体的には以下のとおりです。

    • アプリケーション – 要件はアプリケーションレベルであり、アプリケーション開発者の責任です。

    • セキュリティ – 要件はアプリケーションの安全を確保するために明確に必要です。

    • 検証 – 要件は明確で検証可能な目標を持つように表現されています。

    • 標準 – 要件は、標準として期待されるように、明確な一貫性と構造があります。

レベル定義の改善

バージョン 5.0 のレベルは ASVS を採用しやすくすると同時に、要件が特定のレベルに割り当てられた理由を明確にするように設計されています。これには以下のものを含みます。

  • 優先順位 (リスク軽減と実装の労力を考慮) を主眼に置いて、レベルの理論的根拠を明確にすること。

  • レベル 1 の要件を現実的な数にして、参入障壁を低くすること。

  • レベル 2 とレベル 3 の要件の数のバランスを改善して、よりスムーズな進展を可能にすること。

ドキュメントを簡素化すること

ドキュメントを使いやすくするために、実際の要件を前面に出し、不必要な説明的内容は最小限に抑え、重要な説明を残しています。これには以下のものを含みます。

  • 特に必要な場合を除き、要件に関する説明文や補足文を多くしすぎないこと。

  • 要件を過度に冗長にせず、抽象的にとどめ、より詳しい説明については関連するチートシートやその他の資料を参照すること。

  • マッピングを中核となる要件から分離し、独立して管理および保守できること。

採用を促進する使いやすさ

この使いやすさの向上が、アプリケーションのセキュリティやセキュリティ評価の一貫性と厳密性を改善することを目指している組織による採用の増加につながることを期待しています。

この標準の使用に関する詳細については以降の章で説明します。

Previous口絵NextASVS の使い方

Last updated 27 days ago

Was this helpful?