発注者のためのWebシステム／Webアプリケーション セキュリティ要件書

■すべてのWebシステムが攻撃のターゲットになっている
インターネット上で起きている攻撃というと、凄腕のハッカーが有名企業や官公庁を狙い撃つようなイメージを持っている方もいるかもしれません。実際にそういう事件もありますが、世の中で起きている攻撃の大半は、ネット上に仕掛けられた自動攻撃ロボットやツールによって行われています。攻撃者は手当たり次第に脆弱性を持ったサーバーを探し、自動的に攻撃を仕掛けているのです。

このような攻撃の中でも、Webシステムを狙った攻撃は年々増加しています。
事業規模や業種などに関わらず、すべてのWebシステムがターゲットになる可能性があり、Webサイト運営者はセキュリティ対策を意識せざるを得ない状況です。

■安全なWebサイトを構築するためのセキュリティ要件は明確になっている
“セキュリティ対策に終わりはない”というのは事実です。
しかしWebアプリケーションに関して、ここ数年まったく新しい攻撃手法はほとんど発見されていません。つまり、攻撃に対応した安全なWebサイトを構築するためのセキュリティ要件は明確になっていて、それを実施することで攻撃を防ぐことができるのです。今後も新しい攻撃手法が発見されないとは限りませんが、少なくとも現在起きている攻撃の大半は防ぐ手段があるのです。

■セキュリティは発注者側の責任
Webサイトに何か問題が起きて顧客が被害を被った場合、その責任は運営者が取る必要があります。
運営者は自社でWebシステム開発を行うこともありますが、発注者として開発会社に依頼することもあるでしょう。
その場合、要件定義書にセキュリティ要件を盛り込むことで、安全なWebサイトの構築を進めることができます。
もし要件を満たしていない部分があれば開発会社の瑕疵として扱うこともできます。

■要件定義には、機能要件・性能要件・セキュリティ要件が必須
セキュリティの問題を修正する場合、開発後のフェーズになるほど高いコストが必要になってきます。
要件定義や設計段階での不備は、後の全フェーズに影響するので、セキュリティの問題を設計段階までには解消しておくすることが重要です。セキュリティ対策を適切なコストで確実に行うためにも、Webシステムの要件定義書には機能要件や性能要件などに加えて、セキュリティ要件を必ず盛り込むようにしましょう。

※下のPDFドキュメント「発注者のためのWebシステム／Webアプリケーション セキュリティ要件書」には、
　Webシステム／Webアプリケーションを安全に構築する上で役立つ項目が掲載されています。
※セキュリティ要件書として、また開発者や開発会社とともに要件定義書を作成する際の参考資料して、ご活用下さい。

 このドキュメントは、クリエイティブコモンズ・ライセンスの下でライセンスされています。

2009.05.07 ver.1.1 を公開しました。