A.8.26 アプリケーションのセキュリティ要求事項
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.26 |
| 分類 | 技術的管理策 |
情報セキュリティ要求事項は、アプリケーションを開発又は取得する場合に、特定し、規定し、承認しなければならない。
アプリケーションの開発又は取得において、必要なすべての情報セキュリティ要求事項が特定され、対処されることを確実にするため。
実施の手引き
Section titled “実施の手引き”アプリケーションのセキュリティ要求事項には、以下を含める必要がある。
- 認証・認可要件
- データ保護要件
- 監査・ログ要件
- 可用性要件
セキュリティ要求事項の分類
Section titled “セキュリティ要求事項の分類”| 分類 | 要求事項例 |
|---|---|
| 認証 | 多要素認証、パスワードポリシー |
| 認可 | 役割ベースアクセス制御 |
| データ保護 | 暗号化、マスキング |
| 監査 | ログ記録、監査証跡 |
| 可用性 | 冗長性、バックアップ |
要求事項の定義プロセス
Section titled “要求事項の定義プロセス”| ステップ | 内容 |
|---|---|
| 特定 | セキュリティ要求事項の特定 |
| 分析 | リスク分析、影響評価 |
| 文書化 | 要求事項の文書化 |
| 承認 | 関係者による承認 |
| 検証 | 実装の検証 |
取得時の考慮事項
Section titled “取得時の考慮事項”| 項目 | 内容 |
|---|---|
| ベンダー評価 | セキュリティ対応能力 |
| 契約 | セキュリティ要件の明記 |
| 検証 | 受入テスト |
| サポート | 脆弱性対応 |
当社における実施状況
Section titled “当社における実施状況”当社では、アプリケーション開発時にセキュリティ要件を定義し、設計・実装に反映している。認証、認可、入力検証等のセキュリティ機能を実装している。
-
- システム開発及び保守