アプリ開発で満たすべきセキュリティ要件を分類/明示、JPCERT/CCが日本語訳
「OWASPアプリケーションセキュリティ検証標準 v3.0」公開
2016年06月24日 06時00分更新
JPCERT/CCは6月23日、OWASPの「Application Security Verification Standard(ASVS:アプリケーションセキュリティ検証標準)v3.0.1」日本語訳版を公開した。アプリケーション開発において満たすべきセキュリティ要件を19カテゴリに分類、まとめている。
日本語訳版が公開された「Application Security Verification Standard(ASVS:アプリケーションセキュリティ検証標準)v3.0.1」
OWASPのASVSプロジェクトは、アプリケーションの設計、開発、脆弱性診断などで必要とされるセキュリティ要件の標準を確立することを目指して活動している。公開されたASVSドキュメントは、2015年12月に英語版で公開されたv3.0をJPCERT/CCで日本語訳したもの。
掲載されているセキュリティ要件は、レベル1「すべてのアプリケーションが満たすべきもの」、レベル2「機微なデータを扱うアプリケーションが満たすべきもの」、レベル3「さらに高度な信頼性が求められるアプリケーションが満たすべきもの」の3レベルに分かれている。
要件は3つのレベルに分類されている
JPCERT/CCでは、ASVSドキュメントの活用方法について、アプリケーション開発側でセキュリティ指標とするだけでなく、開発を委託する側の企業から開発者にセキュリティ要件を正確に伝えるための資料、あるいはセキュリティ診断サービス事業者が実施する診断項目の説明を行うための資料などとして活用できるとしている。
