OWASP ASVS

セキュリティ事業部

OWASP ASVS

OWASP ASVS(OWASPアプリケーションセキュリティ検証基準)

OWASP ASVSは、OWASPで策定されている規格類の1つで以下の2点を達成するために業界標準のアプリケーション検証基準として提案されたものです。
・企業がセキュアなアプリケーションを開発および維持できるようになる
・セキュリティサービスまたはツールの提供者および被提供者間で要求事項と提供内容を揃えられるようにする

ASVSでは、次の3段階からなる「セキュリティ検証レベル」という指標を設け、個々のセキュリティ要件がどのレベルに位置付けられるかを明示しており、取捨選択を検討する際の参考になります。
・レベル1: 全てのアプリケーションが満たすべきもの
・レベル2: 機微なデータを扱うアプリケーションが満たすべきもの
・レベル3: さらに高度な信頼性が求められるアプリケーションが満たすべきもの

ASVS v3.0.1では、アーキテクチャ、認証、セッション管理、アクセス制御など、アプリケーションに必要とされるセキュリティ要件を総計19のカテゴリに分類してまとめています。

V1. アーキテクチャ,設計,脅威モデリング
V2. 認証
V3. セッション管理
V4. アクセス制御
V5. 悪性入力の処理
V7. 暗号化
V8. エラー処理とログの保存
V9. データの保護
V10. 通信
V11. HTTP に関するセキュリティ設定
V13. 悪性活動の管理
V15. ビジネスロジック
V16. ファイルとリソース
V17. モバイル
V18. Web サービス(3.0で追加)
V19. 構成(3.0で追加)

 

参照HP:OWASP ASVS