A.8.25 セキュリティに配慮した開発のライフサイクル
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.25 |
| 分類 | 技術的管理策 |
ソフトウェア及びシステムのセキュリティに配慮した開発のための規則は、確立し、適用しなければならない。
開発ライフサイクル全体を通じて、情報セキュリティが設計され、実装されることを確実にするため。
実施の手引き
Section titled “実施の手引き”セキュリティに配慮した開発には、以下を含める必要がある。
- セキュリティ要件の定義
- セキュアコーディング
- セキュリティテスト
- セキュリティレビュー
開発ライフサイクルの各フェーズ
Section titled “開発ライフサイクルの各フェーズ”| フェーズ | セキュリティ活動 |
|---|---|
| 要件定義 | セキュリティ要件の特定 |
| 設計 | セキュリティ設計、脅威モデリング |
| 実装 | セキュアコーディング |
| テスト | セキュリティテスト |
| リリース | セキュリティレビュー |
| 運用 | 脆弱性管理 |
セキュアコーディング
Section titled “セキュアコーディング”| 項目 | 内容 |
|---|---|
| 入力検証 | すべての入力の検証 |
| 出力エンコーディング | XSS対策 |
| 認証・認可 | 適切な認証・認可 |
| エラー処理 | 安全なエラー処理 |
| 暗号化 | 適切な暗号化の使用 |
セキュリティテスト
Section titled “セキュリティテスト”| テスト種類 | 内容 |
|---|---|
| 静的解析 | ソースコードの分析 |
| 動的解析 | 実行時の分析 |
| ペネトレーションテスト | 侵入テスト |
| コードレビュー | セキュリティ観点のレビュー |
当社における実施状況
Section titled “当社における実施状況”当社では、システム開発時にセキュリティ要件を考慮し、セキュアな開発ライフサイクルを実施している。コードレビュー、セキュリティテスト等を実施している。
-
- システム開発及び保守