高いセキュリティレベルが要求されるシステムの開発を依頼される場合があります。 その場合には、システムをセキュアに作るだけではなく、お客様に「何が」「どう」セキュアなのか、説明する必要があったり、場合によっては担保する必要があります。 この場合、何を元に説明したり、担保したりすればよいのでしょうか? ここで使われるのがセキュリティ要件定義書です。 OWASP(後述)のセキュリティ要件定義書をベースに、セキュリティ要件定義書の作り方、入れるべき内容を学びましょう! 要件定義書に書くべきこと セキュリティ要件に書くべきことは、セキュリティ対策のためにベンダーが「具体的に何をやるか」です。 どんな攻撃が想定されていて、どんな防御方法を取るか、セキュリティ要件定義書を使ってそれを説明し、方針についての合意を獲得します。 ただし、「どんな攻撃が想定されていて」の部分は、最終的な要件定義書には書かれてい
![セキュリティ要件を定義しよう(Webアプリ編) - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/9c08626c0813483b7bef05dad95279dd7beca36d/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JUUzJTgyJUJCJUUzJTgyJUFEJUUzJTgzJUE1JUUzJTgzJUFBJUUzJTgzJTg2JUUzJTgyJUEzJUU4JUE2JTgxJUU0JUJCJUI2JUUzJTgyJTkyJUU1JUFFJTlBJUU3JUJFJUE5JUUzJTgxJTk3JUUzJTgyJTg4JUUzJTgxJTg2JUVGJUJDJTg4V2ViJUUzJTgyJUEyJUUzJTgzJTk3JUUzJTgzJUFBJUU3JUI3JUE4JUVGJUJDJTg5JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmcz1kMThkYTk1MWFmOTM4Nzk2YjlkYWYzZjA3ZDQwNDcwZA%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBZdXN1a2VTYWl0byZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9ODRlMmIwMmY2NzJlNWIwNzdjZTBkMGFkNzc3YmJlOTc%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3D35f4b259bbedf2eef649145ed610af6f)