A.8.28 セキュリティに配慮したコーディング
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.28 |
| 分類 | 技術的管理策 |
セキュリティに配慮したコーディングの原則は、ソフトウェア開発に適用しなければならない。
ソフトウェアがセキュリティの脆弱性なく開発されることを確実にするため。
実施の手引き
Section titled “実施の手引き”セキュリティに配慮したコーディングには、以下を含める必要がある。
- コーディング標準の策定
- 脆弱性の防止
- コードレビュー
- 静的解析
一般的な脆弱性と対策
Section titled “一般的な脆弱性と対策”| 脆弱性 | 対策 |
|---|---|
| SQLインジェクション | パラメータ化クエリ |
| XSS | 出力エンコーディング |
| CSRF | トークン検証 |
| バッファオーバーフロー | 境界チェック |
| 認証の欠陥 | 適切な認証実装 |
コーディング標準
Section titled “コーディング標準”| 項目 | 内容 |
|---|---|
| 入力検証 | すべての入力を検証 |
| 出力エンコーディング | コンテキストに応じたエンコード |
| エラー処理 | 安全なエラー処理 |
| 暗号化 | 標準的な暗号ライブラリの使用 |
| ログ | 機密情報をログに含めない |
コードレビュー
Section titled “コードレビュー”| 項目 | 内容 |
|---|---|
| 目的 | セキュリティ脆弱性の検出 |
| 方法 | ピアレビュー、ツール支援 |
| 頻度 | コミット時、リリース前 |
| 記録 | レビュー結果の記録 |
当社における実施状況
Section titled “当社における実施状況”当社では、セキュアコーディングの原則に従って開発を行っている。OWASP等のガイドラインを参考に、脆弱性を作り込まない開発を実施している。
-
- システム開発及び保守