Entry № 1118
セキュリティ要件
セキュリティ要件 とは何ですか?
セキュリティ要件機密性・完全性・可用性・プライバシーを守るためにシステムが何を行い何を行ってはならないかを明確かつ検証可能な形で示した記述。
セキュリティ要件は、脅威・規制・リスク判断を「パスワードは Argon2id をパラメータ X で保存する」「すべての管理 API はステップアップ MFA を要求する」のような開発者が実装できる形に翻訳したものです。認証・認可・ログといった機能的セキュリティと、暗号強度・データ保存期間・耐障害性などの非機能特性を含みます。OWASP ASVS・NIST SP 800-53・PCI DSS などのフレームワークがカタログを提供し、プロダクトに合わせて選択できます。SDLC の初期に、脅威モデリングやアビューズ/ミスユースケースから抽出することで、コードレビュー・SAST・DAST・受け入れテストで検証可能になります。
● 例
- 01
ASVS V2.1.1:アプリケーションはパスワード長を 12 文字以上に強制すること。
- 02
要件:すべての PII フィールドは顧客管理鍵で保存時暗号化すること。
● よくある質問
セキュリティ要件 とは何ですか?
機密性・完全性・可用性・プライバシーを守るためにシステムが何を行い何を行ってはならないかを明確かつ検証可能な形で示した記述。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
セキュリティ要件 とはどういう意味ですか?
機密性・完全性・可用性・プライバシーを守るためにシステムが何を行い何を行ってはならないかを明確かつ検証可能な形で示した記述。
セキュリティ要件 からどのように防御しますか?
セキュリティ要件 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
セキュリティ要件 の別名は何ですか?
一般的な別名: セキュア要件, AppSec 要件。