OWASP の脆弱性診断士スキルマッププロジェクトというページにて、「Webシステム/Webアプリケーションセキュリティ要件書」なるものが公開されています。
ドキュメントのフォーマットは、Word と PDF になります。
以前は、株式会社トライコーダから同様の「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」が公開されていたのですが、いつの間にか公開先も OWASP に移管していたのですね。名前も変わっていて探すのに苦労しました。
ドキュメントの雰囲気はこんな感じです。
一通り目を通しましたが、必要と思われる項目は網羅されているようです。
特にパスワードの salt とストレッチングを使用すること、アカウントロックの試行回数を10回、アカウントロック時間を30分、自動解除を要件としているのは、分かりやすくていいです。
自社内でセキュリティ要件を決めたドキュメントがないようであれば、このドキュメントを使用するのはよいことですね。
チェックリストもダウンロードできるので、こちらも活用したいところです。
ただ、パスワードの salt とストレッチングを自前で開発することは、現在では非推奨とされており、同様のことを行える実行環境ごとの標準ライブラリなり標準関数を使用することが推奨されています。
この辺は下記記事で紹介したので、興味ある方はご参照ください。
以前は、JNSA から「Webシステム セキュリティ要求仕様(RFP)」編 β版なるものが公開されていたのですが、現在もダウンロードはできますがメンテナンスはされていないようで残念です。
あとはお約束ですが、IPAが公開している「安全なウェブサイトの作り方」は基礎知識として必読です。
開発者の方には、「徳丸本」でおなじみの下記の書籍が必読になるでしょうね。
コメント