発注者のためのWebシステム／Webアプリケーションセキュリティ要件書

セキュリティ要件書を無償公開

トライコーダでは、株式会社アイアクト（東京事務所：東京都渋谷区、本社：大阪市中央区、代表取締役社長：鈴木統夫、以下アイアクト）と協力して、Webサイトの脆弱性を防ぐセキュリティ要件をまとめた仕様書「発注者のためのWebシステム／アプリケーションセキュリティ要件書」を、クリエイティブコモンズライセンスにより無償で公開しています。

Webアプリケーションのセキュリティ要件は明確

セキュリティ対策に終わりはないと言われていますが、Webアプリケーションにおいては、ここ数年まったく新しい攻撃手法はほとんど発見されていません。つまり、Webアプリケーションを安全に構築するためのセキュリティ要件は明確になっているのです。
今後も新しい攻撃手法が発見されないとは限りませんが、少なくとも現在起きている攻撃の大半は防ぐ手段は明確なのです。

発注者と開発者の責任分解点を明確にする

Webアプリケーションの開発においては、認証方法、セッション管理、HTTPS、Cookieなどセキュリティに関して考慮すべきポイントが数多く存在しています。これまでセキュリティの仕様については、開発側と発注側のセキュリティリテラシーに乖離があることから、一般的に開発側の実装方法にアプリケーションの安全性を依存することが多く、サービス開始後にセキュリティの問題が顕在化した場合、その保証や改修費用について契約上のトラブルに発展するケースがありました。

トライコーダは、Webアプリケーションの開発に携わる方、特にシステム開発を発注する側に向けてセキュリティ要件についての知識を提供すると同時に、要求仕様書や提案依頼書の資料として当要件書を利用していただくことで開発側と発注側の責任分岐点を明確化し、トラブルを未然に防ぐことを目的として公開いたしました。

対象者

本ドキュメントは、以下の方を対象読者としています。

• 発注者の方で要求仕様やRFP（提案依頼書）を作成する方
• 受注者（開発者）の方で要件定義書を作成する方

ドキュメントのダウンロード

無償ダウンロード

• ダウンロードはこちらから（PDF形式） Ver.1.2 (2010年3月2日改訂)
  
  
• こちらのサイトからもダウンロードすることが可能です。
  発注者のためのWebシステム／Webアプリケーション セキュリティ要件書｜脆弱性診断.jp

このドキュメントは、クリエイティブコモンズ・ライセンスの下でライセンスされています。
※下記のクレジットを明記のうえ、二次加工・配布、商用利用をすることができます。
(C)Some rights Reserved:2010 脆弱性診断.jp(株式会社アイアクト) / 株式会社トライコーダ

セキュリティ要件に対応した設計ガイドライン

トライコーダでは、この「発注者のためのWebシステム／Webアプリケーションセキュリティ要件書」に対応してシステム開発を進めるための設計者・開発者向けの情報セキュリティ教育として「安全なWebサイト構築のための設計ガイドライン」も提供しています。

• 安全なWebサイト構築のための設計ガイドライン - 情報セキュリティ教育