★☆★JNSAメールマガジン 第263号 2023.5.26☆★☆
2023/05/26 (Fri) 15:30
★☆★JNSAメールマガジン 第263号 2023.5.26☆★☆
こんにちは
JNSAメールマガジン 第263号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
ISOG-J WG1 セキュリティオペレーションガイドラインWG
リーダー / 株式会社トライコーダ 上野 宣 様にご寄稿いただきました。
【連載リレーコラム】
Webシステム/Webアプリケーション セキュリティ要件書
ISOG-J WG1 セキュリティオペレーションガイドラインWG
リーダー 上野 宣 (株式会社トライコーダ)
『Webシステム/Webアプリケーションセキュリティ要件書』は、安全なWeb
アプリケーションの開発に必要なセキュリティ要件を記載したドキュメント
です。
WG1ではさまざまなドキュメントやガイドラインを作成して公開していますが、
もっとも改訂の歴史が長いのがこの要件書です。
最新版は2022年6月に公開したVer.4.0 です。
https://github.com/OWASP/www-chapter-japan/tree/master/secreq
# 本ドキュメントがカバーする範囲
本要件書はWebシステム/Webアプリケーションに関して一般的に盛り込むべき
だと考えられるセキュリティ要件について記載しています。
項目としては「認証・認可」「セッション管理」「入力処理」「出力処理」
「HTTPS」「Cookie」などのセキュリティ要件を記載しています。
また、開発言語やフレームワークなどに依存することなくご利用いただけます。
ただし、ネットワークやホストレベル、運用などに関するセキュリティ要件に
ついては記載していません。
対象とするWebシステム/Webアプリケーションは、インターネット・イントラ
ネット問わず公開するシステムで、特定多数または不特定多数のユーザーが
利用するシステムを想定しています。
この中でも特に認証を必要とするシステムが、本要件書の主なターゲットと
なっています。
また、本要件書はセキュリティ要件としての利用しやすさを優先して記載して
いるため、一般的であろうというシステムを想定し、例外の記載を少なくした
セキュリティ要件となっています。
そのため具体的な数値や対策を指定していることもありますが、要件定義書に
記載する内容は開発者と折衝することを想定しています。
# 発注者のためのセキュリティ要件書
本要件書は、2009年頃に私の株式会社トライコーダで公開していた『発注者の
ためのWebシステム/Webアプリケーション セキュリティ要件書』という名前
のドキュメントが基となっています。
その名称にある通り「発注者のための」というところが本要件書のポイントの
1つとなっています。
日本的な開発スタイルの場合、発注者と開発者が分断されていることがしばしば
あります。
発注者は開発者によってセキュリティが保障されることを期待し、開発者は
依頼されていないセキュリティ要件については無視するという状況がたびたび
起きていました。
発注者はセキュリティについての知識が何もなくとも、本要件書を開発者に
提示して、これを満たす内容を開発するよう依頼すれば安全になるであろうと
いう願いもこもっています。
開発会社の方々以外で、発注側としてシステム開発を依頼する機会があれば
是非本要件書をご活用下さい。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/3pnwmvhu
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA外郭団体「サイバーセキュリティ産学連携推進協議会」の紹介ページを公開しました。
https://www.jnsa.org/active/2023/iacollabo.html
★2023年度JNSAインターンシップの情報掲載が始まりました!
https://www.jnsa.org/internship/index.html
【事務局からのお知らせ】
★6月7日開催、JNSAセミナー「2023年度活動報告会」参加登録受付中!
今年はリアル開催のみとなります ※オンライン配信はありません。
https://www.jnsa.org/seminar/2023/active/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
★─────────────────────────────
【漫画でわかる!】サイバー攻撃の脅威とその対策とは?
JBサービス株式会社
─────────────────────────────★
サイバー攻撃の被害に関するニュースが報道されるたび、
「自社は大丈夫か」と心配になっていませんか?
万が一、自社がサイバー攻撃の被害にあった場合どうなるのか、
どのように対処すればよいのかをマンガで紹介します。
セキュリティ対策の見直し・強化をご検討されているセキュリティ
担当者の方はぜひご覧ください。
▼漫画のダウンロードはこちら
https://lp.jbsvc.co.jp/cybersecurity/
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
\ゼイジャッキーとは!?/
Webアプリに潜む脆弱性モンスターを追え!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
彼らは一定の条件を満たしたWebアプリケーションに潜み、
隙あらば乗っ取りや悪用しようと虎視眈々と狙っている。
我々にできることは、彼らの潜伏をいち早く検出し、
攻撃を受ける前に対策を徹底すること。
まずはゼイジャッキーの生態を知り、彼らの攻撃から身を守ろう!
▶ゼイジャッキーレポートを確認する
https://hubs.ly/Q01NYpX50
《株式会社ユービーセキュア》
==============================================================
┏☆☆【登録セキスペの特定講習】セキュアEggsのご案内
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの基礎的な内容を網羅し、これからセキュリティ
に取り組む方向けに好評のセキュアEggsシリーズの中で、
インシデント対応、フォレンジック、Webアプリケーション
セキュリティの3コースが情報処理安全確保支援士の特定講習
に採用されました。3年に1度の特定講習の受講が必要な方は、
ぜひとも受講をご検討ください。
只今、6月、7月開催分のお申込みを受付中です!
詳細は下記弊社Webサイトよりご確認をお願いいたします。
▼詳細・お申込み
https://www.nri-secure.co.jp/service/learning/secureeggs
【NRIセキュアテクノロジーズ株式会社】
==============================================================
========<(ISC)2試験対応特別企画>========
[特別企画] 以下の安心プロテクトで受験を購入すると、
必要に応じて2回目の受験を保証してもらえます!今なら5月31日まで。
その仕組みは以下の通りです:
- 2023年5月31日までに、Peace of Mind Protectionで受験票を購入。
約3~5営業日後に受験票コードが届きます。
- 2023年6月30日までに登録し、試験を受ける。
チェックアウトの際に受験票コードを使用します。
- 必要に応じ2023年8月15日までに2回目の受験をすることができます。
https://www.isc2.org/landing/exam-peace-of-mind?utm_source=jnsa&utm_campaign=GBL-exam-peace-of-mind-protection-promo&utm_content=exam
【(ISC)2】
==============================================================
▼▽6/27(火)無料セミナー「DXとセキュリティの未来」▽▼
DXを実現する上でのセキュリティの重要性や時代にあった
セキュリティ教育について各界のエキスパートが解説・討論します。
[ゲストスピーカー]
・園田道夫様(国立研究開発法人情報通信研究機構)
・武藤耕也様(グローバルセキュリティエキスパート株式会社)
・後藤里奈様(日本マイクロソフト株式会社)
▼詳細・お申し込みはこちら▼
テーマ:DXとセキュリティの未来:変革の波を支える人材育成戦略
2023年6月27日(火)15:00-17:30(開場:14:30~)
会場:コンフォート新宿 RoomA+B
(https://www.relo-kaigi.jp/comfort-shinjyuku/access/)
お申込み:https://seminar.trainocate.co.jp/dxsecurity20230627
【トレノケート株式会社】https://www.trainocate.co.jp/
==============================================================
*************************************
JNSAメールマガジン 第263号
発信日:2023年5月26日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第263号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
ISOG-J WG1 セキュリティオペレーションガイドラインWG
リーダー / 株式会社トライコーダ 上野 宣 様にご寄稿いただきました。
【連載リレーコラム】
Webシステム/Webアプリケーション セキュリティ要件書
ISOG-J WG1 セキュリティオペレーションガイドラインWG
リーダー 上野 宣 (株式会社トライコーダ)
『Webシステム/Webアプリケーションセキュリティ要件書』は、安全なWeb
アプリケーションの開発に必要なセキュリティ要件を記載したドキュメント
です。
WG1ではさまざまなドキュメントやガイドラインを作成して公開していますが、
もっとも改訂の歴史が長いのがこの要件書です。
最新版は2022年6月に公開したVer.4.0 です。
https://github.com/OWASP/www-chapter-japan/tree/master/secreq
# 本ドキュメントがカバーする範囲
本要件書はWebシステム/Webアプリケーションに関して一般的に盛り込むべき
だと考えられるセキュリティ要件について記載しています。
項目としては「認証・認可」「セッション管理」「入力処理」「出力処理」
「HTTPS」「Cookie」などのセキュリティ要件を記載しています。
また、開発言語やフレームワークなどに依存することなくご利用いただけます。
ただし、ネットワークやホストレベル、運用などに関するセキュリティ要件に
ついては記載していません。
対象とするWebシステム/Webアプリケーションは、インターネット・イントラ
ネット問わず公開するシステムで、特定多数または不特定多数のユーザーが
利用するシステムを想定しています。
この中でも特に認証を必要とするシステムが、本要件書の主なターゲットと
なっています。
また、本要件書はセキュリティ要件としての利用しやすさを優先して記載して
いるため、一般的であろうというシステムを想定し、例外の記載を少なくした
セキュリティ要件となっています。
そのため具体的な数値や対策を指定していることもありますが、要件定義書に
記載する内容は開発者と折衝することを想定しています。
# 発注者のためのセキュリティ要件書
本要件書は、2009年頃に私の株式会社トライコーダで公開していた『発注者の
ためのWebシステム/Webアプリケーション セキュリティ要件書』という名前
のドキュメントが基となっています。
その名称にある通り「発注者のための」というところが本要件書のポイントの
1つとなっています。
日本的な開発スタイルの場合、発注者と開発者が分断されていることがしばしば
あります。
発注者は開発者によってセキュリティが保障されることを期待し、開発者は
依頼されていないセキュリティ要件については無視するという状況がたびたび
起きていました。
発注者はセキュリティについての知識が何もなくとも、本要件書を開発者に
提示して、これを満たす内容を開発するよう依頼すれば安全になるであろうと
いう願いもこもっています。
開発会社の方々以外で、発注側としてシステム開発を依頼する機会があれば
是非本要件書をご活用下さい。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/3pnwmvhu
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSA外郭団体「サイバーセキュリティ産学連携推進協議会」の紹介ページを公開しました。
https://www.jnsa.org/active/2023/iacollabo.html
★2023年度JNSAインターンシップの情報掲載が始まりました!
https://www.jnsa.org/internship/index.html
【事務局からのお知らせ】
★6月7日開催、JNSAセミナー「2023年度活動報告会」参加登録受付中!
今年はリアル開催のみとなります ※オンライン配信はありません。
https://www.jnsa.org/seminar/2023/active/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
★─────────────────────────────
【漫画でわかる!】サイバー攻撃の脅威とその対策とは?
JBサービス株式会社
─────────────────────────────★
サイバー攻撃の被害に関するニュースが報道されるたび、
「自社は大丈夫か」と心配になっていませんか?
万が一、自社がサイバー攻撃の被害にあった場合どうなるのか、
どのように対処すればよいのかをマンガで紹介します。
セキュリティ対策の見直し・強化をご検討されているセキュリティ
担当者の方はぜひご覧ください。
▼漫画のダウンロードはこちら
https://lp.jbsvc.co.jp/cybersecurity/
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
\ゼイジャッキーとは!?/
Webアプリに潜む脆弱性モンスターを追え!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
彼らは一定の条件を満たしたWebアプリケーションに潜み、
隙あらば乗っ取りや悪用しようと虎視眈々と狙っている。
我々にできることは、彼らの潜伏をいち早く検出し、
攻撃を受ける前に対策を徹底すること。
まずはゼイジャッキーの生態を知り、彼らの攻撃から身を守ろう!
▶ゼイジャッキーレポートを確認する
https://hubs.ly/Q01NYpX50
《株式会社ユービーセキュア》
==============================================================
┏☆☆【登録セキスペの特定講習】セキュアEggsのご案内
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの基礎的な内容を網羅し、これからセキュリティ
に取り組む方向けに好評のセキュアEggsシリーズの中で、
インシデント対応、フォレンジック、Webアプリケーション
セキュリティの3コースが情報処理安全確保支援士の特定講習
に採用されました。3年に1度の特定講習の受講が必要な方は、
ぜひとも受講をご検討ください。
只今、6月、7月開催分のお申込みを受付中です!
詳細は下記弊社Webサイトよりご確認をお願いいたします。
▼詳細・お申込み
https://www.nri-secure.co.jp/service/learning/secureeggs
【NRIセキュアテクノロジーズ株式会社】
==============================================================
========<(ISC)2試験対応特別企画>========
[特別企画] 以下の安心プロテクトで受験を購入すると、
必要に応じて2回目の受験を保証してもらえます!今なら5月31日まで。
その仕組みは以下の通りです:
- 2023年5月31日までに、Peace of Mind Protectionで受験票を購入。
約3~5営業日後に受験票コードが届きます。
- 2023年6月30日までに登録し、試験を受ける。
チェックアウトの際に受験票コードを使用します。
- 必要に応じ2023年8月15日までに2回目の受験をすることができます。
https://www.isc2.org/landing/exam-peace-of-mind?utm_source=jnsa&utm_campaign=GBL-exam-peace-of-mind-protection-promo&utm_content=exam
【(ISC)2】
==============================================================
▼▽6/27(火)無料セミナー「DXとセキュリティの未来」▽▼
DXを実現する上でのセキュリティの重要性や時代にあった
セキュリティ教育について各界のエキスパートが解説・討論します。
[ゲストスピーカー]
・園田道夫様(国立研究開発法人情報通信研究機構)
・武藤耕也様(グローバルセキュリティエキスパート株式会社)
・後藤里奈様(日本マイクロソフト株式会社)
▼詳細・お申し込みはこちら▼
テーマ:DXとセキュリティの未来:変革の波を支える人材育成戦略
2023年6月27日(火)15:00-17:30(開場:14:30~)
会場:コンフォート新宿 RoomA+B
(https://www.relo-kaigi.jp/comfort-shinjyuku/access/)
お申込み:https://seminar.trainocate.co.jp/dxsecurity20230627
【トレノケート株式会社】https://www.trainocate.co.jp/
==============================================================
*************************************
JNSAメールマガジン 第263号
発信日:2023年5月26日
発 行:JNSA事務局 sec@jnsa.org
*************************************