序文
アプリケーションセキュリティ検証標準 (ASVS) バージョン 5.0 へようこそ!
はじめに
ASVS は、2008 年にコミュニティの共同作業を通じて制定され、現代の Web アプリケーションと Web サービスを設計、開発、テストする際に考慮すべきセキュリティ要件を定義しています。
ASVS バージョン 5.0 は、この重要な標準を更新および改善するために、リーダー、ワーキンググループ、その他のコミュニティメンバーが行ってきた多大な労力の集大成です。
このバージョンでの目標は ASVS を使いやすくすると同時に、定義されたスコープを明確に絞り込み、アプリケーション開発の新しい重要な領域をカバーすることです。
ASVS バージョン 5.0 の主な目的
バージョン 5.0 はいくつかの重要な原則を念頭に置いて開発されました。
明確な要件セット
バージョン 5.0 の要件は以下の考慮事項に基づいて用意されました。
コントロールやコンセプトが複数の場所に分割されることを避けるため、要件の重複を積極的に排除します。
不明瞭であったり実行不可能である要件テキストを明確にします。
パーミッション、トークン、暗号化など、特に懸念される領域をカバーするために、新しい要件を追加します。
すべてのアプリケーションに適用されるわけではありませんが、セキュリティに重要な領域 (OAuth や WebSocket など) について、新しい章とセクションを導入します。
標準のスコープを明確にすること
すべての要件が標準の定義されたスコープに関連しており、標準の目標に合致するように表現されていることが重要です。このためのガイドラインは以下のとおりです。
すべての要件が Web アプリケーションやサービスのスコープ内であることを確保します。
要件が ASVS の名称に合致していることを検証します。具体的には以下のとおりです。
アプリケーション – 要件はアプリケーションレベルであり、アプリケーション開発者の責任です。
セキュリティ – 要件はアプリケーションの安全を確保するために明確に必要です。
検証 – 要件は明確で検証可能な目標を持つように表現されています。
標準 – 要件は、標準として期待されるように、明確な一貫性と構造があります。
レベル定義の改善
バージョン 5.0 のレベルは ASVS を採用しやすくすると同時に、要件が特定のレベルに割り当てられた理由を明確にするように設計されています。これには以下のものを含みます。
優先順位 (リスク軽減と実装の労力を考慮) を主眼に置いて、レベルの理論的根拠を明確にすること。
レベル 1 の要件を現実的な数にして、参入障壁を低くすること。
レベル 2 とレベル 3 の要件の数のバランスを改善して、よりスムーズな進展を可能にすること。
ドキュメントを簡素化すること
ドキュメントを使いやすくするために、実際の要件を前面に出し、不必要な説明的内容は最小限に抑え、重要な説明を残しています。これには以下のものを含みます。
特に必要な場合を除き、要件に関する説明文や補足文を多くしすぎないこと。
要件を過度に冗長にせず、抽象的にとどめ、より詳しい説明については関連するチートシートやその他の資料を参照すること。
マッピングを中核となる要件から分離し、独立して管理および保守できること。
採用を促進する使いやすさ
この使いやすさの向上が、アプリケーションのセキュリティやセキュリティ評価の一貫性と厳密性を改善することを目指している組織による採用の増加につながることを期待しています。
この標準の使用に関する詳細については以降の章で説明します。
Last updated
Was this helpful?