情報セキュリティに関する事項
情報セキュリティに関する事項は政府公開のデジタル・ガバメント推進標準ガイドラインに照らし合わせると以下となります。
情報システムの情報セキュリティ対策に関する事項について記載する。
本項では、このアプリの情報セキュリティに関する要件として、以下の事項を定義します。
要件内容
- セキュリティ要件
- セキュリティ診断
- 脆弱性への対応
セキュリティ要件
このアプリでは、OWASP MASVS1のL1(標準的なセキュリティ)で定義されたセキュリティ検証要件として挙げられている項目を要件として対応するものとします。
OWASP MASVSでは、モバイルアプリケーションに求められるセキュリティ検証要件として、以下の要件が整理されています。
- アーキテクチャ、設計、脅威モデリングに関する要件
- データストレージとプライバシーに関する要件
- 暗号に関する要件
- 認証とセッション管理に関する要件
- ネットワーク通信に関する要件
- プラットフォーム相互作用に関する要件
- コード品質とビルド設定に関する要件
- コード改竄とリバースエンジニアリングへの耐性に関する要件
OWASP MASVSは以下のようにレベル分けされており、レベルごとに満たすべき要件が定義されています。
| レベル | 要求 | アプリケーション種別 |
|---|---|---|
| L1 | 標準的なセキュリティ | 全てのモバイルアプリケーション |
| L2 | 標準を超える最新のセキュリティ | モバイルバンキング・クレジットカードアプリ・ヘルスケア/医療アプリなど |
| R | リバースエンジニアリング耐性 | - |
このうちリバースエンジニアリング耐性である「R」レベルは、「L1」もしくは「L2」と組み合わされて運用されます。例えば、標準的なセキュリティレベルでリバースエンジニアリング耐性を持つ必要がある場合は、「L1-R」と定義されます。 このアプリは個人情報をはじめとする機微な情報を収集・保存するモバイルアプリケーションではないため、L1に準拠するものとします。
このアプリではバックエンド実装について非機能要件の対象外としています。 そのためバックエンド側で実施すべき処理に関するセキュリティ検証要件については対象外とします。
セキュリティ診断
このアプリでは、セキュリティ診断を以下のタイミングで実施し、不備があれば都度対策を講じます。
- リリース前
- リリース後、定期的に実施
ただし、サンプルアプリケーションという位置づけであることから、想定する機能を全て実装してセキュリティ診断を実施する前に、セキュリティ診断前の開発中のソースコードを段階的に公開する場合があります。
具体的なセキュリティ診断の実施時期についてはスケジュールに合わせて別途検討するものとします。
リリース後の定期的なセキュリティ診断については年1回程度の実施を目安としますが、 このアプリはサンプルアプリケーションという特殊な位置づけであることから、実施頻度はベストエフォートとします。
脆弱性への対応
このアプリのリリース前にセキュリティ診断を実施し、不備があれば都度対策を講じます。また、利用しているライブラリに脆弱性が見つかった場合には、脆弱性のCVSSスコアや影響度に応じて回避策やバージョンアップの適用時期を都度協議します。
リリース後の保守対応については、サンプルアプリケーションという位置づけであることをふまえ、ベストエフォートでの対応とします。