📗
owasp-asvs-ja
  • OWASP Application Security Verification Standard ja
  • OWASP アプリケーションセキュリティ検証標準 5.0 日本語版
    • 口絵
    • 序文
    • ASVS とは何か?
    • 監査と認証
    • v4.x と比較した変更点
    • V1: エンコーディングとサニタイゼーション
    • V2: バリデーションとビジネスロジック
    • V3: Web フロントエンドセキュリティ
    • V4: API と Web サービス
    • V5: ファイル処理
    • V6: 認証
    • V7: セッション管理
    • V8: 認可
    • V9: 自己完結型トークン
    • V10: OAuth と OIDC
    • V11: 暗号化
    • V12: 安全な通信
    • V13: 構成
    • V14: データ保護
    • V15: セキュアコーディングとアーキテクチャ
    • V16: セキュリティログ記録とエラー処理
    • V17: WebRTC
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 V: 暗号化標準
    • 付録 X: 推奨事項
  • OWASP アプリケーションセキュリティ検証標準 4.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • V1: アーキテクチャ、設計、脅威モデリング
    • V2: 認証
    • V3: セッション管理
    • V4: アクセス制御
    • V5: バリデーション、サニタイゼーション、エンコーディング
    • V6: 保存時における暗号化
    • V7: エラー処理とログ記録
    • V8: データ保護
    • V9: 通信
    • V10: 悪意あるコード
    • V11: ビジネスロジック
    • V12: ファイルとリソース
    • V13: API と Web サービス
    • V14: 構成
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 C: Internet of Things の検証要件
Powered by GitBook
On this page
  • はじめに
  • バージョン 5.0 の背後にある原則
  • 今後の展望

Was this helpful?

  1. OWASP アプリケーションセキュリティ検証標準 5.0 日本語版

序文

アプリケーションセキュリティ検証標準 (ASVS) バージョン 5.0 へようこそ。

はじめに

ASVS は、もともと 2008 年にコミュニティの共同作業を通じて開始され、現代の Web アプリケーションとサービスを設計、開発、テストするための包括的な一連のセキュリティ要件を定義しています。

2019 年の ASVS 4.0 のリリースと 2021 年のマイナーアップデート (v4.0.3) に続き、バージョン 5.0 はソフトウェアセキュリティの最新の進歩を反映して近代化された重要なマイルストーンとなります。

ASVS 5.0 は、この重要な標準を更新および改善するために、プロジェクトリーダー、ワーキンググループメンバー、およびより広範な OWASP コミュニティからの多大な貢献の結果です。

バージョン 5.0 の背後にある原則

このメジャーリビジョンはいくつかの重要な原則を念頭に置いて策定されました。

  • スコープと焦点の洗練: このバージョンの標準は、その名称にある、アプリケーション (Application)、セキュリティ (Security)、検証 (Verification)、標準 (Standard) という基本的な柱に、より直接的に沿うように設計されています。要件は、特定の技術的実装を義務付けるのではなく、セキュリティ上の欠陥の防止に重点を置くように書き直されました。要件文はその存在理由を示す自明なものになるよう目指しています。

  • セキュリティに関する決定事項の文書化のサポート: ASVS 5.0 では主要なセキュリティに関する決定事項を文書化するための要件を導入しています。これによりトレーサビリティを向上し、状況に応じた実装をサポートするため、組織はセキュリティ態勢を特定のニーズやリスクに合わせて調整できます。

  • レベルの更新: ASVS は三層モデルを維持していますが、レベル定義は ASVS を採用しやすくなるように進化しています。レベル 1 は ASVS 採用の最初のステップとして設計されており、防御の第一層を提供します。レベル 2 は標準的なセキュリティプラクティスの包括的な視点を表し、レベル 3 は高度な高保証要件に対応しています。

  • コンテンツの再構成と拡張: ASVS 5.0 は 17 の章にわたって約 350 の要件を含みます。章はわかりやすさと使いやすさのために再編成されました。v4.0 と v5.0 の間の双方向マッピングが提供され、移行が容易になります。

今後の展望

アプリケーションのセキュリティ確保が決して完全に完了しないのと同様に、ASVS もまた決して完了することはありません。バージョン 5.0 はメジャーリリースですが、開発は継続しています。このリリースは、より広範なコミュニティがこれまで蓄積されてきた改善点や追加点から恩恵を受けることができるだけでなく、将来の強化のための基盤も築いています。これにはコア要件セットの上に構築された実装および検証ガイダンスを作成するためのコミュニティ主導の取り組みを含む可能性があります。

ASVS 5.0 は安全なソフトウェア開発のための信頼できる基盤となるように設計されています。アプリケーションセキュリティの現状を共に前進させるために、コミュニティがこの標準を採用、貢献、構築するようお願いします。

Previous口絵NextASVS とは何か?

Last updated 13 days ago

Was this helpful?