A.8.29 開発及び受入れにおけるセキュリティ試験
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.29 |
| 分類 | 技術的管理策 |
セキュリティ試験のプロセスは、開発ライフサイクルにおいて定め、実施しなければならない。
新しい又は更新されたシステムが、セキュリティ要件を満たしていることを検証するため。
実施の手引き
Section titled “実施の手引き”セキュリティ試験には、以下を含める必要がある。
- 試験計画の策定
- 試験の実施
- 結果の評価
- 是正措置
セキュリティ試験の種類
Section titled “セキュリティ試験の種類”| 種類 | 説明 |
|---|---|
| 静的解析 | ソースコードの分析 |
| 動的解析 | 実行時の分析 |
| 脆弱性スキャン | 既知の脆弱性の検出 |
| ファジング | 異常入力によるテスト |
試験プロセス
Section titled “試験プロセス”| フェーズ | 活動 |
|---|---|
| 計画 | 試験計画、範囲、基準の定義 |
| 準備 | 環境構築、ツール準備 |
| 実施 | 試験の実行 |
| 報告 | 結果の分析、報告書作成 |
| 是正 | 発見事項への対応 |
| 再試験 | 是正後の確認 |
| 項目 | 基準 |
|---|---|
| 重大な脆弱性 | ゼロ |
| 高リスク脆弱性 | 是正済み |
| 中リスク脆弱性 | 是正計画あり |
| 低リスク脆弱性 | 文書化 |
当社における実施状況
Section titled “当社における実施状況”当社では、開発・受入れ時にセキュリティテストを実施している。脆弱性診断等を必要に応じて実施している。
-
- システム開発及び保守