6.1.1 要件 6 で特定されたすべてのセキュリティポ リシーと運用手順が
・ 文書化されている。
・ 最新の状態に保たれている。
・ 使用されている。
・ すべての関係者に知られている。”
6.1.2 要件 6 の活動を行うための役割と責任が文書 化され、割り当てられ、理解されている
6.2.2 特注ソフトウェアおよびカスタムソフトウェ アに従事するソフトウェア開発担当者は,少なくと も 12 カ月に 1 回,次のような訓練を受ける。
・ 自分の職能および開発言語に関連するソフトウ ェアセキュリティについて。
・ 安全なソフトウェア設計および安全なコーディ ング技法を含む。
・ セキュリティテストツールを使用する場合、ソ フトウェアの脆弱性を検出するためのツールの 使用方法を含む。
6.2.3 特注ソフトウェアおよびカスタムソフトウェ アは、潜在的なコーディングの脆弱性を特定し修正 するために、実稼働または顧客にリリースする前 に、以下のようにレビューされる。
・ コードレビューでは、コードが安全なコーディ ングガイドラインに従って開発されていること を確認する。
・ コードレビューでは、既存のソフトウェア脆弱 性と新たに発生したソフトウェア脆弱性の両方 を調査します。
・ リリース前に適切な修正を実施する。
6.2.4 一般的なソフトウェア攻撃および関連する脆 弱性を防止または軽減するために、ソフトウェアエ ンジニアリング技術またはその他の方法を定義し、 ソフトウェア開発担当者が特注ソフトウェアおよび カスタムソフトウェアに対して使用している(ただ し、以下に限定されない)。
・ SQL、LDAP、XPath、またはその他のコマン ド、パラメータ、オブジェクト、障害、インジ ェクションタイプの欠陥を含む、インジェクシ ョン攻撃。
・ バッファ、ポインタ、入力データ、共有データ を操作しようとする試みを含む、データおよび データ構造に対する攻撃。
・ 脆弱な、安全でない、または不適切な暗号の実 装、アルゴリズム、暗号スイート、または操作 モードを悪用しようとする試みを含む、暗号の 使用に関する攻撃。
・ 要件 6.3.1 に定義されているように、脆弱性特定 プロセスで特定された「高リスク」の脆弱性を 経由した攻撃。
・ ビジネスロジックに対する攻撃。API、通信プロトコルとチャンネル、クライアント側の機能、その他のシステム/アプリケーションの機能とリソースを操作して、アプリケーションの特徴と機能を悪用または回避しようとする試みを含む。これには、クロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)などが含まれる。
・ 識別、認証、または認可の仕組みを迂回または悪用しようとする試み、あるいはそのような仕組みの実装における弱点を利用しようとする試みなど、アクセス制御の仕組みに対する攻撃。
6.3.1 セキュリティ脆弱性の特定と管理は、以下の ように行っている。
・ 新しいセキュリティ脆弱性は、国際的および国 内のコンピュータ緊急対応チーム(CERT)から の警告を含む、業界で認知されたセキュリティ 脆弱性情報源を使用して特定される。
・ 脆弱性は、業界のベストプラクティスと潜在的 な影響の考慮に基づいて、リスクランクが割り 当てられている。
・ リスクランキングでは、最低限、高リスクまた は環境にとって重要であると考えられるすべて の脆弱性を特定する。
・ 特注ソフトウェアおよびカスタムソフトウェ ア、サードパーティソフトウェア(OS やデータ ベースなど)に対する脆弱性が対象となる。”
6.3.2 特注ソフトウェアおよびカスタムソフトウェ ア、並びに特注ソフトウェアおよびカスタムソフト ウェアに組み込まれたサードパーティソフトウェア コンポーネントのインベントリを維持し、脆弱性お よびパッチ管理を容易にする。
6.5.6 テストデータおよびテストアカウントは、シ ステムの本番稼動前にシステムコンポーネントから 削除される。
入会申込
ログイン
