V1: 組織

管理目標

完璧な世界では、セキュリティは開発のすべてのフェーズで考慮されていることでしょう。しかし実際には、セキュリティは SDLC の後期のステージでしか考慮されないことがよくあります。技術的なコントロールに加えて、CSVS ではソリューションのアーキテクチャを計画する際にセキュリティが明示的に対処されること、およびすべてのコンポーネントの機能的な役割とセキュリティ上の役割がわかっていることを確認するためのプロセスを導入する必要があります。

カテゴリ "V1" にはコンテナソリューションのプロセス、アーキテクチャ、および設計に関連する要件が記載されています。そのため、このカテゴリを技術的なテストケースにマップすることはできませんが、プロセスレベルで取り組む必要があります。さらに、組織ごとに構造が異なり、セットアップごとに組織とプロセスの要件が異なるため、このカテゴリは完全ではなく今後も完全にはならないことに注意してください。CSVS はこのカテゴリの基本的な側面のみをカバーしようとしているため、ニーズに基づいて要件を拡張することを強くお勧めします。

セキュリティ検証要件

多くの組織のセキュリティコントロールはコンテナインフラストラクチャのみに焦点を当てているわけではないため、このセクションの要件は網羅的ではないことに注意してください。

#	説明	L1	L2	L3	導入バージョン
1.1	技術要員 (特にアクティビティやアーキテクトなどの DevOps を担当する者) が使用するテクノロジのセキュリティ面に関する定期的なトレーニングを受けていることを検証します。	✓	✓	✓	1.0
1.2	管理者がプロジェクトで使用されているテクノロジのセキュリティ面に関する定期的なトレーニングを受けていることを検証します。			✓	1.0
1.3	処理されるすべてのデータが内部データ分類基準に基づいて分類されていることを検証します。	✓	✓	✓	1.0
1.4	各サービス/アプリケーション (複数コンテナで構成されることがある) ごとにそのサービス/アプリケーションのセキュリティニーズとそれらがどのように対処されているかまたはどのように対処される予定であるかに関する情報を提供するセキュリティコンセプトがあることを検証します。		✓	✓	1.0
1.5	特定されたセキュリティリスクと脆弱性が速やかに排除 (または例外付与) され、事前定義されたリスクと脆弱性の管理プロセスに従って一元管理されていることを検証します。		✓	✓	1.0
1.6	コンテナインフラストラクチャに関する役割と責任が定義されていることを検証します。これには接続性の承認者や許可されるベースイメージの決定者などが含まれます。		✓	✓	1.0