メトリクス

アプリケーションアーキテクチャ、設計、実装で重要となる事柄に関連するメトリクス

第一グループでは、主に技術的な決定に関する詳細がウェブアプリケーションソフトウェアに対して評価されます。これらの決定はアプリケーションアーキテクチャ、設計、実装に関連していることがあります。ソフトウェア開発者、アーキテクトなどの技術スタッフはソフトウェアを設計および実装する際にこのリストを利用できます。

説明

O W A S P

ビジネス要件のグループ化と階層に適したメニュー構造の使用

1.4

階層化アーキテクチャの使用

1.9

シングルサインオンの使用

2.1

メニュー作成時だけではなくリクエストベースの認可と真正性の制御

2.1

ユーザーフォームの自動入力の防止

2.2

サーバーサイドの認証トークンをベースとしたサービスコールの停止

2.4, 4.9

https の常用をベースとした基本認証

2.4

安全な例外処理、安全な失敗

2.6, 4.8

最小最大長とヌル値ではないことについてユーザーフォームの妥当性確認

2.7

パスワード忘れと変更の安全な二次認証メカニズム

2.8, 2.9

危険な機能を特権ユーザーに制限 (アカウント停止など)

2.8

機密情報なしの安全なログ記録

2.12

一方向ハッシュパスワード

2.13

暗号化されたリンクと URL の使用

2.16, 3.6

パスワード削除時における複数経路の使用

2.17

パスワード削除時におけるランダムに生成されたデータの使用

2.17, 2.22

認証情報のない認証エラーメッセージ

2.18

デフォルトパスワードの使用なし

2.19

ブルートフォース攻撃を防ぐための CAPTCHA の使用

2.2

一元化された安全な認証データの使用

2.21

アカウントソフトロックおよびハードロック機構の使用

2.23

回復のための信頼できる秘密の質問セットの使用

2.24

最近使用された (直近 N 世代) 古いパスワードの使用防止

2.25

リスクの高い機能に対する二要素認証の使用

2.26

適切なパスワード制約の使用

2.27

認証成功と失敗の時間が平均して同じ

2.28

コードからシークレットコード、API キー、パスワードの除去

2.29

二要素認証または同様の強力な認証機構の使用

2.31

管理インタフェースの保護

2.32

個別のウェブ/イントラネットアプリケーションとしての管理インタフェースの設計

2.32

ブラウザのオートコンプリートやパスワードマネージャとの統合の無効化

2.33

新しい認証には新しいセッションを開き、セッション ID のオリジンを確認

3.1, 3.7, 3.10

すべてのユーザーセッションを終了する適切なログアウト機能

3.2

タイムアウト後または一定の非アクティブ期間後の自動的なセッションの終了

3.3, 3.4

認証されたすべてのページからログアウト機能に簡単アクセス

3.5

HttpOnly と Secure クッキーパラメータを設定する中核となるクッキージェネレータの採用

3.12

アクティブセッション数の制限

3.16

アクティブセッションの可視化

3.17

パスワード変更時にすべてのアクティブセッションの終了

3.18

RBAC 原則の適用

4.1

データアクセス制御の使用

4.4

アクセス制御の一元化とアクセス制御データの保護

4.8, 4.10, 4.11

ソースコードライブラリおよびあらゆる種類のリソースに対するソース管理の使用

4.11

アクセス制御成功と失敗の両方のログ記録

4.12

価値が低いシステムや重要度が低いシステムのための安全な二次的アクセス制御

4.15

状況に応じた認可

4.16

入力フィールドに対するサーバーサイドの妥当性確認

5.3, 5.5

リモートファイルインクルードを防止するためにすべてのファイルインクルードを確認

5.13

ウェブページでスクリプトコードの直接使用なし

5.14

ウェブページでスタイルコードの直接使用なし

5.14

すべての文字列変数に対するリソースファイルの使用

5.15

サーバーサイドの妥当性確認とともにクライアントサイドの妥当性確認を使用

5.18

REST サービスに独自の妥当性確認

5.19

RSS、クッキー、バッチファイルなどのすべてのタイプの入力を妥当性確認

5.19

非構造化データをクリーンにするためのサーブレットフィルタの使用

5.21

HTML エディタを注意して使用および不必要な使用を回避

5.22

HTML 無害化の使用

5.23

安全なログアウト機能の使用

5.26

ログアウト時にログイン情報を削除

5.26

安全に失敗するセキュアな暗号化モジュール

7.2

暗号文の完全性を確認

7.2

暗号機能のセキュアな動作モードを選択

7.8

暗号鍵のセキュアなライフサイクルを実施

7.9, 7.11

鍵なしハッシュ関数の使用

7.9, 7.11

物理鍵の使用

7.11

暗号化されたユーザーパスワードをデータベースに保存

7.12

ソフト削除の際、重要なデータは 00 で置換

7.13

すべての鍵とパスワードはインストール時に置換

7.14

機密データ (セッション識別子、パスワード、ハッシュ、または API トークン) のログ記録なし

8.7

印字不可能な文字の文字エンコーディングおよび固定ファイル形式を用いたログ設計によりログインジェクションを防止

8.8

プロパティファイルからエラーメッセージおよびユーザーアラートを取得することによりログインジェクションを防止

8.8

サードパーティサービスなどの外部リソースからのログエントリをフィールドでマーク

8.9

ログファイルの自動処理の前に外部から発信されたログエントリをフィルタ

8.9

イベントの否認防止のためにすべてのユーザーアクティビティをユーザー ID でログに記録

8.10

ユーザーアクティビティの否認防止のためにソフト削除の使用

8.10

ログファイルをアプリケーションファイルとは異なるディスクパーティションに保存

8.12

複数のウェブサーバー間での共通クロックの使用

8.13

HTTP ヘッダパラメータとキャッシュを使用してクライアントサイドのキャッシュを防止 (Cache Control, Pragma)

9.1, 9.4

アプリケーションに対する機密データのリスト化 (金銭データなど)

9.2

機密データを持つアプリケーションパーツに対して制限されたユーザーグループを認可

9.2

機密データを持つパーツに対して二次認証を使用

9.2

機密データの転送に URL パラメータの使用なし

9.3

HTTP ページの body セクション外に機密データなし

9.3

重要なクエリページでの CAPTCHA の使用

9.8

クライアントサイドで保持されるデータは最低限であり、ユーザーセッション終了時に削除

9.9

すべてのデータテーブルに対して作成および更新情報を保持

9.10

重要なデータに対するアクセス情報履歴を格納するための構造の使用

9.10

データの寿命を制限するために文字データを String ではなく char [] に保持

9.11

重要なデータをメモリで使用後にゼロで置換

9.11

HTTPS の強制使用を実施するための HTTP ヘッダでの Http Strict Transport Security (HSTS)

10.3, 10.11

TLS 接続失敗をログ記録

10.4

クライアントサイドで証明書の使用なし

10.5

クライアントでの信頼できる証明書の使用

10.5

TLS と非 TLS ページの混在なし

10.6

MITM 攻撃を防ぐために Public-Key-Pins HTTP ヘッダを設定

10.1

web.xml で望ましくない HTTP メソッドを定義

11.1

望ましくない HTTP メソッドに対するロガーをコントローラに定義

11.1

XHTML コードに文字セット定義を組込

11.2

クライアントアプリケーションでの認証トークンの使用

11.3

100

サードパーティに表示してはならないページに対する X-FRAME-OPTIONS の使用

11.4

101

ヘッダにアプリケーションバージョン (powered by, server, MVC) なし

11.5

102

リクエストとレスポンスに対してコンテンツと MIME タイプを確認

11.6

103

REST アプリケーションにレスポンス定義タイプを組込

11.6

104

XML, JSON タイプの入力を伴うサービスメソッドに対して処理する前にコンテンツチェックを実行

11.7

105

XSS 攻撃を防ぐために X-XSS-Protection ヘッダを有効化

11.8

106

セキュリティ上の問題となる可能性があるコードに対してサンドボックスを使用

13.1

107

エラー処理が正しく機能することを確認

13.1

108

重要なコードが複数の開発者により検査されていることを確認するために頻繁なコードレビューを実施

13.1

109

ネガティブテストの使用

13.2

110

ブルートフォース攻撃に対する重要な操作での CAPTCHA の使用

15.2

111

URL 書き換えに対してフィルタをするための web.xml ファイルの使用

16.1

112

ファイルアップロード時の禁止の代わりに特定ファイルを許可

16.4

113

実行可能ファイルのアップロードの許可なし

16.8

114

検証情報から UDID, IMEI および同様のモバイルデバイスデータを削除

17.1

115

モバイルデバイスからのファイルダウンロードを防止

17.2

116

キーチェーンや認証データなどの機密データをモバイルデバイスに保存なし

17.3

117

認証データ (ワンタイムパスワード、API キー、トークン) を動的に生成

17.4

118

モバイルデバイスでの画面キャプチャに機密データなし

17.5

119

認可は最小限の資産にのみ付与

17.6

120

モバイルデバイスでの制限されたファイルダウンロードおよびアップロード

17.9

121

クライアントおよびサーバーコードで UTF8 を使用

18.1

122

REST サービスに対して受信コンテンツタイプを確認

18.8

123

クライアントとサーバー間でペイロード署名を使用

18.9

124

外部ウェブサービスと内部サービス機能を分離

18.9, 18.10

125

単一のサーバーを共有する複数のアプリケーションに対してサンドボックスを使用

19.4

126

すべてのシステムレベル言語に対してセキュリティチェックフラグを組込

19.9

127

アプリケーション資産 (JavaScript やスタイルシートファイルなど) はインターネットに依存なし

19.10

テクノロジで重要となる事柄に関連するメトリクス

第二グループには、テクノロジに関連する詳細があります。これらのテクノロジは開発環境に関連している場合もあれば、フレームワークソフトウェアなどのソフトウェアの一部である場合もあります。このリストはプロジェクトマネージャやプロダクトオーナーだけでなく技術スタッフにも恩恵を受ける可能性があります。提示される情報はプロジェクトの遂行に影響を与える可能性があります。これらのテクノロジ上の決定はアーキテクチャ上の決定につながる可能性さえあります。セキュリティ定性メトリクスの他のパートはテクノロジの選択に影響されませんが、このパートではユーザーがテクノロジに依存する提示に遭遇する可能性があります。選択したテクノロジが提示されたものと一致する場合、ユーザーはこれらの提示をそのまま受け取ることができます。そうではない場合、ユーザーは選択したテクノロジでの同様のプロパティやソリューションについて確認します。

説明

O W A S P

128

一元化されたセキュリティ管理策として Spring Security を使用

1.7

129

データ、ビュー、コントローラコンポーネントを明確に分離するための Spring MVC の使用

1.9

130

クライアントコードからシークレットコードおよびビジネスロジックを除くために Spring MVC を使用

1.10

131

信頼できるリファレンスを持つバグのないテクノロジを使用

1.11

132

新しく登場したテクノロジ、ライブラリ、サードパーティツールなどには懐疑的

1.11

133

CSRF 攻撃から保護するために Spring CSRF 対策トークンを使用

4.13

134

集中的な更新を防止するためにデータベースリソースガバナーを使用

4.14

135

Java ネイティブライブラリの使用なし

5.1

136

一元化されたバリデーションとして JSF または同様のフレームワークを使用

5.6

137

SQL インジェクションを防止するために ORM (Hibernate など) を使用

5.10

138

Spring バリデータの使用

5.16

139

Spring InitBinder の使用

5.16

140

Java Spring フレームワークによるリクエストパラメータの区別

5.17

141

電子メール、電話または同様のフィールドに対する Java Regex の使用

5.20

142

Javascript では innerHTML ではなく InnerText を使用

5.24

143

Javascript では eval 関数ではなく json.parse を使用

5.25

144

java.util.random ではなく java.security.SecureRandom を使用

7.6, 7.15

145

FIPS-140-2 または同等のものに対して Bcrypt ではなく SHA-256/SHA-512, PBKDF2-HMAC を使用

7.7

146

エラーメッセージには機密データの含有なし

8.1

147

一元化されたエラー処理メカニズムおよびコード

8.2

148

ライブラリファイルを使用することにより重要な中央ロジックを隠蔽

8.2

149

セキュリティ関連機能の成功と失敗の両方をログに記録

8.3

150

ログにはイベントのタイムラインを形成するために必要なデータを組込

8.4

151

データベースに保存されている重要なデータを不正アクセスから保護

9.5

152

すべての認証された接続に対する TLS の使用

10.3

153

機密データを伴う転送に対する TLS の使用

10.3

154

ウェブサーバーと互換性のある最新の TLS バージョンの使用

10.16

155

Java SecurityManager の使用

13.1

156

カスタム書き換えルールに対する Apache Tomcat での mod-rewrite の使用

16.1

157

URL 書き換えをフィルタするための URLRewritingFilter の使用

16.1

158

外部ファイルのロードのためのドキュメント管理システムの使用

16.2

159

外部ファイルをディスクファイルではなくバイト配列として保存

16.2

160

クロスドメインリソース共有を制限するために Spring を使用

16.5, 18.7

161

Flash の使用なし

16.9

162

非ネイティブ Java テクノロジ (Silverlight など) の使用なし

16.9

163

モバイルアプリに対してスクリーンキャプチャ防止をインストール

17.5

164

モバイルデバイスでの ASLR テクノロジの使用

17.7

165

クライアントサイドでのリモートデバッグアプリの存在と実行可能性を確認

17.8

166

ウェブサービススキーマ形式 (JSON など) のアノテーション

18.3

167

Spring 入力バリデーションを使用

18.4

168

静的 API キーの使用なし

18.6

環境で重要となる事柄に関連するメトリクス

第三グループ

説明

O W A S P

169

ネットワークの分離

1.8

170

ファイアウォールルールの使用

1.8, 17.11

171

アプリケーションやウェブサーバーでの URL 書き換えを無効化

3.6

172

ウェブサーバーで十分に長いセッション ID を構成

3.11

173

ウェブサーバーでディレクトリブラウジングを無効化

4.5

174

ウェブサーバー上に SVN/Git ファイルの保存なし

4.5

175

SonarQube などの静的コード解析ツールの使用

5.12, 5.13, 5.14

176

信頼できるログ閲覧ソフトウェアの使用

8.5

177

ログファイルを不正アクセスから保護

8.6

178

システム管理室に物理的セキュリティを使用

8.6

179

ネットワークデバイスからアクセスできないシステムルーム

8.6

180

不正な改変を防ぐために別の場所でログファイルを取得

8.11

181

信頼できる証明書をサーバーにインストール

10.1

182

運用開始前に各ブラウザタイプの TLS バージョンを確認

10.8

183

ウェブサーバー構成ファイルから forward secrecy 暗号を削除

10.10

184

ウェブサーバーで適切な証明書失効を有効化 (Apache の OCSP ステープリング)

10.10

185

IDE により与えられる警告を考慮

13.1

186

テストカバレッジ分析のための SonarQube の使用

13.1

187

URL リダイレクトをサーバーからチェックまたはフィルタ

16.1

188

外部ファイル入力に対してウェブサーバーでアンチウィルス保護を使用

16.3

189

ドキュメント管理の一部として権益システムを使用

16.3

190

ドキュメント管理システムを別のサーバーに配置

16.6

191

クロスドメインリクエストに対してウェブサーバーが閉じている (これはデフォルトの動作である) ことを検証

16.7

192

クライアントサイドでコードを実行している場合にはクライアントでのクライアントデバッグを防止

17.8

193

メモリデータ漏洩を防ぐために頻繁に収集するよう JVM を構成

17.10

194

IDE で UTF-8 を構成

18.1

195

サードパーティに公開されているウェブサービスに対してウェブサービス管理チームを割り当て

18.2

196

TLS の使用を構成

18.5

197

各デプロイの前にウェブサービスのデプロイメントパスをクリア

19.1

198

アプリサーバーとデータベースサーバーを同じネットワークコンパートメントに保持。そうでなければそれらの間の変換を暗号化

19.2

199

アプリサーバーデータベースユーザーに DML (DDL ではない) アクセス権のみを付与

19.3

200

ウェブアプリケーションに対して専用サーバーまたは専用仮想サーバーを使用

19.4

201

コンパイル、ビルド、デプロイメントに対して自動化されたプロセスとツールを使用

19.5

202

システム管理機能には許可された担当者のみがアクセス可

19.5, 19.6

203

自動ビルド／デプロイツールにファイル整合性チェッカを追加

19.6

204

署名付き Jar のみを実行するようにウェブサーバーを構成

19.7

205

自動デプロイの一部として Jar Signer を使用

19.7

206

信頼できるサーバーからサードパーティライブラリをダウンロードするようにビルド自動化ツールを構成

19.8

コード生成で重要となる事柄に関連するメトリクス

第四グループには、プロジェクトのセキュリティに関連して自動コード生成に関連する特性が含まれています。細部およびより詳細なセキュリティ問題は自動コードジェネレータに依存するため、このパートでは、重要で一般的な原則のみが含まれています。

説明

O W A S P

207

クライアントにビジネスロジックなしでの自動コード生成

1.10

208

RFI のリスクを排除するための標準化されたコードの使用

5.13

開発方法論で重要となる事柄に関連するメトリクス

第五グループには、自動コード生成に加えて、すべてのチームが採用するいくつかの開発方法論と原則があります。このパートのメトリクスは主にトップレベルの設計上の決定に関連しています。このパートでは、ユーザーは非常に初期のプロジェクト管理関連の決定に関連する項目を見つけることもあります。

説明

O W A S P

209

非表示フィールド、Cookie、および ajax の数を最小限にするために標準化されたフロントエンドを用意

9.7

210

自動コード生成での括弧の使用

13.1

211

資産をより適切に識別するためにすべての関数、ライブラリ、依存関係を文書化

1.1 ,1.2, 1.5

212

高レベルアーキテクチャの文書化

1.3

213

よく知られている脅威を含むアプリケーション固有の脅威モデルを準備

1.6

214

機密情報ログをクリーンにするために運用開始前にコードを手動検査

8.7

215

保持ポリシーの一部として破棄するデータを決定

9.6

216

顧客による CA の選択責任

10.1

217

サーバー認証のための顧客による認証済み CA の選択

10.1

218

各ブラウザごとに保守されている Strict Transport Security ドメインリストに URL を送信

10.2

219

digicert で OCSP ステープリングが有効化されていることを検証

10.15

220

プロジェクトパッケージ構造ドキュメントを作成

19.1

ビジネスロジックで重要となる事柄に関連するメトリクス

OWASP はビジネスロジック関連の問題の重要性を指摘しています。第六グループには、ソフトウェアプログラムに一般的に存在する主要なビジネス機能に関連するセキュリティチェックが含まれています。

説明

O W A S P

221

金銭的価値に関連するトランザクションを確認

15.1

222

日付エントリを伴うトランザクションを確認

15.1

223

シーケンシャルイベントに対するトランザクションを確認

15.1

224

外部ユーザーに関連するトランザクションを確認

15.1

225

ユーザーのグループに関連するトランザクションを確認

15.1

226

契約情報にかかわるトランザクションを確認

15.1

227

ビジネスの崩壊によりトランザクションを中断

15.2

228

互換性のないトランザクションを中断

15.2

229

モバイルデバイスではユーザーにファイルダウンロード責任を付与

17.2

230

モバイルデバイスからファイルおよびその他の重要な資産にアクセスするために RBAC 制限を使用

17.2

PreviousOWASP セキュリティ定性メトリクス Next方法論と背景

Last updated 3 years ago

Was this helpful?

アプリケーションアーキテクチャ、設計、実装で重要となる事柄に関連するメトリクス

説明

O W A S P

ビジネス要件のグループ化と階層に適したメニュー構造の使用

1.4

階層化アーキテクチャの使用

1.9

シングルサインオンの使用

2.1

メニュー作成時だけではなくリクエストベースの認可と真正性の制御

2.1

ユーザーフォームの自動入力の防止

2.2

サーバーサイドの認証トークンをベースとしたサービスコールの停止

2.4, 4.9

https の常用をベースとした基本認証

2.4

安全な例外処理、安全な失敗

2.6, 4.8

最小最大長とヌル値ではないことについてユーザーフォームの妥当性確認

2.7

パスワード忘れと変更の安全な二次認証メカニズム

2.8, 2.9

危険な機能を特権ユーザーに制限 (アカウント停止など)

2.8

機密情報なしの安全なログ記録

2.12

一方向ハッシュパスワード

2.13

暗号化されたリンクと URL の使用

2.16, 3.6

パスワード削除時における複数経路の使用

2.17

パスワード削除時におけるランダムに生成されたデータの使用

2.17, 2.22

認証情報のない認証エラーメッセージ

2.18

デフォルトパスワードの使用なし

2.19

ブルートフォース攻撃を防ぐための CAPTCHA の使用

2.2

一元化された安全な認証データの使用

2.21

アカウントソフトロックおよびハードロック機構の使用

2.23

回復のための信頼できる秘密の質問セットの使用

2.24

最近使用された (直近 N 世代) 古いパスワードの使用防止

2.25

リスクの高い機能に対する二要素認証の使用

2.26

適切なパスワード制約の使用

2.27

認証成功と失敗の時間が平均して同じ

2.28

コードからシークレットコード、API キー、パスワードの除去

2.29

二要素認証または同様の強力な認証機構の使用

2.31

管理インタフェースの保護

2.32

個別のウェブ/イントラネットアプリケーションとしての管理インタフェースの設計

2.32

ブラウザのオートコンプリートやパスワードマネージャとの統合の無効化

2.33

新しい認証には新しいセッションを開き、セッション ID のオリジンを確認

3.1, 3.7, 3.10

すべてのユーザーセッションを終了する適切なログアウト機能

3.2

タイムアウト後または一定の非アクティブ期間後の自動的なセッションの終了

3.3, 3.4

認証されたすべてのページからログアウト機能に簡単アクセス

3.5

HttpOnly と Secure クッキーパラメータを設定する中核となるクッキージェネレータの採用

3.12

アクティブセッション数の制限

3.16

アクティブセッションの可視化

3.17

パスワード変更時にすべてのアクティブセッションの終了

3.18

RBAC 原則の適用

4.1

データアクセス制御の使用

4.4

アクセス制御の一元化とアクセス制御データの保護

4.8, 4.10, 4.11

ソースコードライブラリおよびあらゆる種類のリソースに対するソース管理の使用

4.11

アクセス制御成功と失敗の両方のログ記録

4.12

価値が低いシステムや重要度が低いシステムのための安全な二次的アクセス制御

4.15

状況に応じた認可

4.16

入力フィールドに対するサーバーサイドの妥当性確認

5.3, 5.5

リモートファイルインクルードを防止するためにすべてのファイルインクルードを確認

5.13

ウェブページでスクリプトコードの直接使用なし

5.14

ウェブページでスタイルコードの直接使用なし

5.14

すべての文字列変数に対するリソースファイルの使用

5.15

サーバーサイドの妥当性確認とともにクライアントサイドの妥当性確認を使用

5.18

REST サービスに独自の妥当性確認

5.19

RSS、クッキー、バッチファイルなどのすべてのタイプの入力を妥当性確認

5.19

非構造化データをクリーンにするためのサーブレットフィルタの使用

5.21

HTML エディタを注意して使用および不必要な使用を回避

5.22

HTML 無害化の使用

5.23

安全なログアウト機能の使用

5.26

ログアウト時にログイン情報を削除

5.26

安全に失敗するセキュアな暗号化モジュール

7.2

暗号文の完全性を確認

7.2

暗号機能のセキュアな動作モードを選択

7.8

暗号鍵のセキュアなライフサイクルを実施

7.9, 7.11

鍵なしハッシュ関数の使用

7.9, 7.11

物理鍵の使用

7.11

暗号化されたユーザーパスワードをデータベースに保存

7.12

ソフト削除の際、重要なデータは 00 で置換

7.13

すべての鍵とパスワードはインストール時に置換

7.14

機密データ (セッション識別子、パスワード、ハッシュ、または API トークン) のログ記録なし

8.7

印字不可能な文字の文字エンコーディングおよび固定ファイル形式を用いたログ設計によりログインジェクションを防止

8.8

プロパティファイルからエラーメッセージおよびユーザーアラートを取得することによりログインジェクションを防止

8.8

サードパーティサービスなどの外部リソースからのログエントリをフィールドでマーク

8.9

ログファイルの自動処理の前に外部から発信されたログエントリをフィルタ

8.9

イベントの否認防止のためにすべてのユーザーアクティビティをユーザー ID でログに記録

8.10

ユーザーアクティビティの否認防止のためにソフト削除の使用

8.10

ログファイルをアプリケーションファイルとは異なるディスクパーティションに保存

8.12

複数のウェブサーバー間での共通クロックの使用

8.13

HTTP ヘッダパラメータとキャッシュを使用してクライアントサイドのキャッシュを防止 (Cache Control, Pragma)

9.1, 9.4

アプリケーションに対する機密データのリスト化 (金銭データなど)

9.2

機密データを持つアプリケーションパーツに対して制限されたユーザーグループを認可

9.2

機密データを持つパーツに対して二次認証を使用

9.2

機密データの転送に URL パラメータの使用なし

9.3

HTTP ページの body セクション外に機密データなし

9.3

重要なクエリページでの CAPTCHA の使用

9.8

クライアントサイドで保持されるデータは最低限であり、ユーザーセッション終了時に削除

9.9

すべてのデータテーブルに対して作成および更新情報を保持

9.10

重要なデータに対するアクセス情報履歴を格納するための構造の使用

9.10

データの寿命を制限するために文字データを String ではなく char [] に保持

9.11

重要なデータをメモリで使用後にゼロで置換

9.11

HTTPS の強制使用を実施するための HTTP ヘッダでの Http Strict Transport Security (HSTS)

10.3, 10.11

TLS 接続失敗をログ記録

10.4

クライアントサイドで証明書の使用なし

10.5

クライアントでの信頼できる証明書の使用

10.5

TLS と非 TLS ページの混在なし

10.6

MITM 攻撃を防ぐために Public-Key-Pins HTTP ヘッダを設定

10.1

web.xml で望ましくない HTTP メソッドを定義

11.1

望ましくない HTTP メソッドに対するロガーをコントローラに定義

11.1

XHTML コードに文字セット定義を組込

11.2

クライアントアプリケーションでの認証トークンの使用

11.3

100

サードパーティに表示してはならないページに対する X-FRAME-OPTIONS の使用

11.4

101

ヘッダにアプリケーションバージョン (powered by, server, MVC) なし

11.5

102

リクエストとレスポンスに対してコンテンツと MIME タイプを確認

11.6

103

REST アプリケーションにレスポンス定義タイプを組込

11.6

104

XML, JSON タイプの入力を伴うサービスメソッドに対して処理する前にコンテンツチェックを実行

11.7

105

XSS 攻撃を防ぐために X-XSS-Protection ヘッダを有効化

11.8

106

セキュリティ上の問題となる可能性があるコードに対してサンドボックスを使用

13.1

107

エラー処理が正しく機能することを確認

13.1

108

重要なコードが複数の開発者により検査されていることを確認するために頻繁なコードレビューを実施

13.1

109

ネガティブテストの使用

13.2

110

ブルートフォース攻撃に対する重要な操作での CAPTCHA の使用

15.2

111

URL 書き換えに対してフィルタをするための web.xml ファイルの使用

16.1

112

ファイルアップロード時の禁止の代わりに特定ファイルを許可

16.4

113

実行可能ファイルのアップロードの許可なし

16.8

114

検証情報から UDID, IMEI および同様のモバイルデバイスデータを削除

17.1

115

モバイルデバイスからのファイルダウンロードを防止

17.2

116

キーチェーンや認証データなどの機密データをモバイルデバイスに保存なし

17.3

117

認証データ (ワンタイムパスワード、API キー、トークン) を動的に生成

17.4

118

モバイルデバイスでの画面キャプチャに機密データなし

17.5

119

認可は最小限の資産にのみ付与

17.6

120

モバイルデバイスでの制限されたファイルダウンロードおよびアップロード

17.9

121

クライアントおよびサーバーコードで UTF8 を使用

18.1

122

REST サービスに対して受信コンテンツタイプを確認

18.8

123

クライアントとサーバー間でペイロード署名を使用

18.9

124

外部ウェブサービスと内部サービス機能を分離

18.9, 18.10

125

単一のサーバーを共有する複数のアプリケーションに対してサンドボックスを使用

19.4

126

すべてのシステムレベル言語に対してセキュリティチェックフラグを組込

19.9

127

アプリケーション資産 (JavaScript やスタイルシートファイルなど) はインターネットに依存なし

19.10

テクノロジで重要となる事柄に関連するメトリクス

説明

O W A S P

128

一元化されたセキュリティ管理策として Spring Security を使用

1.7

129

データ、ビュー、コントローラコンポーネントを明確に分離するための Spring MVC の使用

1.9

130

クライアントコードからシークレットコードおよびビジネスロジックを除くために Spring MVC を使用

1.10

131

信頼できるリファレンスを持つバグのないテクノロジを使用

1.11

132

新しく登場したテクノロジ、ライブラリ、サードパーティツールなどには懐疑的

1.11

133

CSRF 攻撃から保護するために Spring CSRF 対策トークンを使用

4.13

134

集中的な更新を防止するためにデータベースリソースガバナーを使用

4.14

135

Java ネイティブライブラリの使用なし

5.1

136

一元化されたバリデーションとして JSF または同様のフレームワークを使用

5.6

137

SQL インジェクションを防止するために ORM (Hibernate など) を使用

5.10

138

Spring バリデータの使用

5.16

139

Spring InitBinder の使用

5.16

140

Java Spring フレームワークによるリクエストパラメータの区別

5.17

141

電子メール、電話または同様のフィールドに対する Java Regex の使用

5.20

142

Javascript では innerHTML ではなく InnerText を使用

5.24

143

Javascript では eval 関数ではなく json.parse を使用

5.25

144

java.util.random ではなく java.security.SecureRandom を使用

7.6, 7.15

145

FIPS-140-2 または同等のものに対して Bcrypt ではなく SHA-256/SHA-512, PBKDF2-HMAC を使用

7.7

146

エラーメッセージには機密データの含有なし

8.1

147

一元化されたエラー処理メカニズムおよびコード

8.2

148

ライブラリファイルを使用することにより重要な中央ロジックを隠蔽

8.2

149

セキュリティ関連機能の成功と失敗の両方をログに記録

8.3

150

ログにはイベントのタイムラインを形成するために必要なデータを組込

8.4

151

データベースに保存されている重要なデータを不正アクセスから保護

9.5

152

すべての認証された接続に対する TLS の使用

10.3

153

機密データを伴う転送に対する TLS の使用

10.3

154

ウェブサーバーと互換性のある最新の TLS バージョンの使用

10.16

155

Java SecurityManager の使用

13.1

156

カスタム書き換えルールに対する Apache Tomcat での mod-rewrite の使用

16.1

157

URL 書き換えをフィルタするための URLRewritingFilter の使用

16.1

158

外部ファイルのロードのためのドキュメント管理システムの使用

16.2

159

外部ファイルをディスクファイルではなくバイト配列として保存

16.2

160

クロスドメインリソース共有を制限するために Spring を使用

16.5, 18.7

161

Flash の使用なし

16.9

162

非ネイティブ Java テクノロジ (Silverlight など) の使用なし

16.9

163

モバイルアプリに対してスクリーンキャプチャ防止をインストール

17.5

164

モバイルデバイスでの ASLR テクノロジの使用

17.7

165

クライアントサイドでのリモートデバッグアプリの存在と実行可能性を確認

17.8

166

ウェブサービススキーマ形式 (JSON など) のアノテーション

18.3

167

Spring 入力バリデーションを使用

18.4

168

静的 API キーの使用なし

18.6

環境で重要となる事柄に関連するメトリクス

第三グループ

説明

O W A S P

169

ネットワークの分離

1.8

170

ファイアウォールルールの使用

1.8, 17.11

171

アプリケーションやウェブサーバーでの URL 書き換えを無効化

3.6

172

ウェブサーバーで十分に長いセッション ID を構成

3.11

173

ウェブサーバーでディレクトリブラウジングを無効化

4.5

174

ウェブサーバー上に SVN/Git ファイルの保存なし

4.5

175

SonarQube などの静的コード解析ツールの使用

5.12, 5.13, 5.14

176

信頼できるログ閲覧ソフトウェアの使用

8.5

177

ログファイルを不正アクセスから保護

8.6

178

システム管理室に物理的セキュリティを使用

8.6

179

ネットワークデバイスからアクセスできないシステムルーム

8.6

180

不正な改変を防ぐために別の場所でログファイルを取得

8.11

181

信頼できる証明書をサーバーにインストール

10.1

182

運用開始前に各ブラウザタイプの TLS バージョンを確認

10.8

183

ウェブサーバー構成ファイルから forward secrecy 暗号を削除

10.10

184

ウェブサーバーで適切な証明書失効を有効化 (Apache の OCSP ステープリング)

10.10

185

IDE により与えられる警告を考慮

13.1

186

テストカバレッジ分析のための SonarQube の使用

13.1

187

URL リダイレクトをサーバーからチェックまたはフィルタ

16.1

188

外部ファイル入力に対してウェブサーバーでアンチウィルス保護を使用

16.3

189

ドキュメント管理の一部として権益システムを使用

16.3

190

ドキュメント管理システムを別のサーバーに配置

16.6

191

クロスドメインリクエストに対してウェブサーバーが閉じている (これはデフォルトの動作である) ことを検証

16.7

192

クライアントサイドでコードを実行している場合にはクライアントでのクライアントデバッグを防止

17.8

193

メモリデータ漏洩を防ぐために頻繁に収集するよう JVM を構成

17.10

194

IDE で UTF-8 を構成

18.1

195

サードパーティに公開されているウェブサービスに対してウェブサービス管理チームを割り当て

18.2

196

TLS の使用を構成

18.5

197

各デプロイの前にウェブサービスのデプロイメントパスをクリア

19.1

198

アプリサーバーとデータベースサーバーを同じネットワークコンパートメントに保持。そうでなければそれらの間の変換を暗号化

19.2

199

アプリサーバーデータベースユーザーに DML (DDL ではない) アクセス権のみを付与

19.3

200

ウェブアプリケーションに対して専用サーバーまたは専用仮想サーバーを使用

19.4

201

コンパイル、ビルド、デプロイメントに対して自動化されたプロセスとツールを使用

19.5

202

システム管理機能には許可された担当者のみがアクセス可

19.5, 19.6

203

自動ビルド／デプロイツールにファイル整合性チェッカを追加

19.6

204

署名付き Jar のみを実行するようにウェブサーバーを構成

19.7

205

自動デプロイの一部として Jar Signer を使用

19.7

206

信頼できるサーバーからサードパーティライブラリをダウンロードするようにビルド自動化ツールを構成

19.8

コード生成で重要となる事柄に関連するメトリクス

説明

O W A S P

207

クライアントにビジネスロジックなしでの自動コード生成

1.10

208

RFI のリスクを排除するための標準化されたコードの使用

5.13

開発方法論で重要となる事柄に関連するメトリクス

説明

O W A S P

209

非表示フィールド、Cookie、および ajax の数を最小限にするために標準化されたフロントエンドを用意

9.7

210

自動コード生成での括弧の使用

13.1

211

資産をより適切に識別するためにすべての関数、ライブラリ、依存関係を文書化

1.1 ,1.2, 1.5

212

高レベルアーキテクチャの文書化

1.3

213

よく知られている脅威を含むアプリケーション固有の脅威モデルを準備

1.6

214

機密情報ログをクリーンにするために運用開始前にコードを手動検査

8.7

215

保持ポリシーの一部として破棄するデータを決定

9.6

216

顧客による CA の選択責任

10.1

217

サーバー認証のための顧客による認証済み CA の選択

10.1

218

各ブラウザごとに保守されている Strict Transport Security ドメインリストに URL を送信

10.2

219

digicert で OCSP ステープリングが有効化されていることを検証

10.15

220

プロジェクトパッケージ構造ドキュメントを作成

19.1

ビジネスロジックで重要となる事柄に関連するメトリクス

説明

O W A S P

221

金銭的価値に関連するトランザクションを確認

15.1

222

日付エントリを伴うトランザクションを確認

15.1

223

シーケンシャルイベントに対するトランザクションを確認

15.1

224

外部ユーザーに関連するトランザクションを確認

15.1

225

ユーザーのグループに関連するトランザクションを確認

15.1

226

契約情報にかかわるトランザクションを確認

15.1

227

ビジネスの崩壊によりトランザクションを中断

15.2

228

互換性のないトランザクションを中断

15.2

229

モバイルデバイスではユーザーにファイルダウンロード責任を付与

17.2

230

モバイルデバイスからファイルおよびその他の重要な資産にアクセスするために RBAC 制限を使用

17.2