発注者のためのWebシステム/Webアプリケーション セキュリティ要件書|脆弱性診断.jp(情報元のブックマーク数)
株式会社アイアクトと株式会社トライコーダが発注者のためのWebシステムセキュリティ要件書をCCで出しています。これはすごい!!!
まっちゃ139で以前グループディスカッションの際に上野さんがおっしゃっていたやつですね。すごい!
セキュリティの問題を修正する場合、開発後のフェーズになるほど高いコストが必要になってきます。
http://脆弱性診断.jp/specifications/index.html
要件定義や設計段階での不備は、後の全フェーズに影響するので、セキュリティの問題を設計段階までには解消しておくすることが重要です。セキュリティ対策を適切なコストで確実に行うためにも、Webシステムの要件定義書には機能要件や性能要件などに加えて、セキュリティ要件を必ず盛り込むようにしましょう。
アイアクト++、トライコーダ++、、、あれ?”ライコーダ”?!?!?!?
セキュリティ教育を専門とするライコーダとの協力で文書化を行い、アイアクトが運営するWebアプリケーションの脆弱性に特化した情報サイト「脆弱性診断.jp」上で公開する。なおクリエイティブコモンズライセンスの下で提供され、無償であるほか、二次加工・配布や商用利用が可能となっている。
アイアクト、Webサイトのセキュリティ要件仕様書を無償公開
まずは、ドラフト(たたき台)を出して、それからみんなで、良いものを作っていけばいいと思うんですが、修正とか議論する場とかがあればうれしいな>うさぎデザイン
受け入れの時、ここに挙げられている項目が要求された通りになっているかどうかをチェックする必要があると思うんだけど、チェックは誰がどういう形で行えば良いのかなあ?
発注者のためのWebシステム/Webアプリケーション セキュリティ要件書 - 極楽せきゅあ日記
とはいえ、ほとんどはいわゆるブラックボックステストでチェックできるのかな?だとすると、発注側でも要件確認テストを行うスキルさえあれば良いということなのかな。
これからバージョン管理とか色々よろしくお願いします。楽しみです。
実用的な教育メニュー
開発者、発注者向けの「安全なWebサイト構築のための設計ガイドライン」を始めとした各教育講座は、単に知識として習得していただくことが目的ではなく、業務に活かしていただくことを目的とした教育です。
http://www.tricorder.jp/education.html高い教育レベルとわかりやすい講座
教育用コンテンツやドキュメントは、IT初心者向け書籍なども多数執筆している著者が監修しているので、高い教育レベルを保ちながら、わかりやすい講座内容となっています。
TIPタソのBlogにも書かれていますが、色々あったけどちょっとまとめてみた系らしい。いい感じでまとまってる
これまで発注者側が使えるセキュリティ要件に近いものとして、
Webアプリケーション開発に伴うセキュリティ要件をまとめた「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」をクリエイティブコモンズライセンスにより無償で公開 〜 株式会社トライコーダ - うさぎ文学日記
JNSAの『「Webシステム セキュリティ要求仕様(RFP)」編 β版』や、
IPAの『安全なウェブサイトの作り方 改訂第3版』、
産業技術総合研究所 情報セキュリティ研究センター 高木浩光氏による『安全なWebアプリ開発の鉄則2006』
などがありましたが、発注者が使いやすい形のものはなかったため、
今回作成し公開することにしました。
本ドキュメントは公共性が高いと考え、
クリエイティブコモンズライセンスの下で提供し、
二次加工・配布、商用利用を可能にしております。
さまざまな用途でご活用頂ければと存じます。
またご意見など頂ければ幸いです。
