序文
アプリケーションセキュリティ検証標準 (ASVS) バージョン 5.0 へようこそ!
はじめに
ASVS は現代の Web アプリケーションと Web サービスを設計、開発、テストする際に考慮すべきセキュリティ要件を定義する標準を確立するためのコミュニティ主導の取り組みです。
ASVS バージョン 5.0 は、この重要な標準を更新および改善するために、リーダー、ワーキンググループ、その他のコミュニティメンバーが行ってきた多大な労力の集大成です。
このバージョンでの目標は ASVS を使いやすくすると同時に、特定のスコープを明確に絞り込み、アプリケーション開発の新しい重要な領域をカバーすることです。
ASVS バージョン 5.0 の主な目的
バージョン 5.0 はいくつかの重要な原則を念頭に置いて開発されました。
明確な要件セット
バージョン 5.0 の要件セットは以下の考慮事項に基づいて用意されました。
コントロールやコンセプトが複数の場所に分割されることを避けるため、要件の重複を積極的に排除します。
不明瞭であったり実行不可能である要件テキストを明確にします。
パーミッション、トークン、暗号化など、特に懸念される領域をカバーするため、新しい要件を追加します。
OAuth や WebSocket など、すべてのアプリケーションに当てはまらないかもしれませんが、依然としてセキュリティに重要な領域について、新しい章とセクションを追加します。
標準のスコープを明確にすること
すべての要件が標準の定義されたスコープに関連しており、標準の目標に合致するように表現されていることが重要です。
このためのガイドラインは以下のとおりです。
すべての要件が Web アプリケーションやサービスのスコープ内であることを確保すること。
要件が ASVS の名称に沿って表現されていることをチェックすること。
アプリケーション - 要件はアプリケーションレベルであり、アプリケーション開発者の責任です。
セキュリティ - 要件はアプリケーションが安全であるために明確に必要です。
検証 - 要件は明確で検証可能な目標を持つように表現されています。
標準 - 要件は、標準として期待されるように、明確な一貫性と構造があります。
レベル定義の改善
バージョン 5.0 のレベルは ASVS を採用しやすくすると同時に、要件が特定のレベルに割り当てられた理由を明確にすることも目的としています。
これには以下のものを含みます。
レベルの理論的根拠を明確にして、優先順位を主眼に置きます (リスク軽減と実装の労力を考慮します)。
レベル 1 の要件を現実的な数にして、参入障壁を低くします。
レベル 2 とレベル 3 の要件の数のバランスを改善して、よりスムーズな進展を可能にします。
ドキュメントを簡素化すること
ドキュメントを使いやすくするために、実際の要件を前面に出し、不必要な説明的内容を避けながら、重要な説明を残します。
これには以下のものを含みます。
特に必要な場合を除き、要件に関する説明文や補足文を多くしすぎないこと。
要件を過度に冗長にせず、抽象的なままにして、説明文の中で関連するチートシートやその他の資料を参照すること。
マッピングを中核となる要件から遠ざけ、別々に管理および保守できるように分離すること。
採用を促進する使いやすさ
この使いやすさの向上が、アプリケーションのセキュリティやセキュリティ評価の一貫性と厳密性を改善したいと考えている組織による採用の増加につながることを期待しています。
この標準の使用に関する詳細については以降の章で説明します。
Last updated
Was this helpful?