ソフトウェア出荷判定セキュリティ基準チェックリストを公開
設計から運用まで開発現場で使えるセキュリティ要件を策定
2016年7月13日
一般社団法人コンピュータソフトウェア協会(略称「CSAJ」、東京都港区赤坂)は、パッケージソフトウェアやWebサービスのセキュリティ品質を向上させるための「ソフトウェア出荷判定セキュリティ基準チェックリスト」を発表しました。
誰もが自由に使える開発プロセスに応じたセキュリティ要件48項目
本チェックリストは、CSAJ会員企業でセキュリティや品質保証を担当する専門家が制作したもので、ソフトウェアの品質の一環としてセキュリティを捉え、開発現場での仕様策定や出荷テストの際の評価項目として幅広く利用できることを目的として構成されています。チェックリストは、CSAJの以下Webサイトからダウンロードでき、クリエイティブコモンズライセンスに基づき、CSAJ会員のみならず誰もが自由に利用でき、自社利用はもとより、改変や商用利用も可能となっています。
以下URLより下記がダウンロードできます
- ソフトウェア出荷判定セキュリティ基準チェックリスト 一覧版(xlsx:88KB)(PDF:222KB)
- ソフトウェア出荷判定セキュリティ基準チェックリスト 個票版(docx:83KB)(PDF:590KB)
- ソフトウェア出荷判定セキュリティ基準チェックリスト 解説書(PDF:470KB)
- 別表_ソフトウェアのセキュリティ(xlsx:41KB)(PDF:97KB)
利用方法と留意点
成果物1、2、4は、CC BY-SA 4.0 ライセンスによって許諾されています。ライセンスの内容を知りたい方はhttps://creativecommons.org/licenses/by-sa/4.0/でご確認ください。
ライセンス証 : https://creativecommons.org/licenses/by-sa/4.0/deed.ja リーガルコード : https://creativecommons.org/licenses/by-sa/4.0/legalcode.ja |
◆チェックリスト利用イメージ図◆
ソフトウェア開発のセキュリティ課題
ソフトウェアの脆弱性や不具合を狙ったサイバー攻撃は、増加の一歩をたどっています。ソフトウェア製品・サービスにセキュリティの問題が発生すると、企業の信用失墜や売り上げの低迷につながることから、自社製品・サービスのセキュリティ対策は、ソフトウェア開発会社にとって大変重要な経営課題となっています。
他方で、ソフトウェア製品・サービスのセキュリティ問題は、自社内のソフトウェア制作過程で作りこんだ脆弱性や不具合のみならず、第三者のOSやオープンソースソフトウェア、データベース製品、クラウドサービスなどの製品・サービス等にも脆弱性が含まれます。
セキュリティ品質を確保する管理対象項目と管理手法を定義
本チェックリストではこうした実情を踏まえ、ソフトウェア製品・サービスの企画、仕様策定、方式設計、詳細設計、テスト、運用に至るライフサイクルのなかで、セキュリティ品質の維持・向上の観点から、管理対象項目と管理手法を定義しました。これによって、社内のエンジニアだけでなく、企画担当者や品質管理担当者、外部の協力会社も含めた、セキュリティ品質の管理が可視化でき、ソフトウェア製品・サービスの信頼性の向上が期待できます。
ソフトウェア出荷判定セキュリティ基準策定ワーキンググループ
主 査 小屋 晋吾(トレンドマイクロ株式会社 執行役員 統合政策担当/セキュリティ委員会副委員長)
メンバ 三舛畑 達(アクセルユニバース株式会社 システム部 マネージャー)
板東 直樹(アップデートテクノロジー株式会社 代表取締役社長)
福嶌 淳也(オー・エイ・エス株式会社 製品開発ソリューション部 課長)
伊藤 裕紀(サイバートラスト株式会社 品質保証本部)
松尾 武俊(サイバートラスト株式会社 営業本部長)
明尾 洋一(サイボウズ株式会社 グローバル開発本部品質保証部 部長)
唐澤 正樹(株式会社チェプロ サポート統括)
太田 浩二(トレンドマイクロ株式会社 プロダクトマーケティング本部)
望月 信昭(日本ナレッジ株式会社)
上符 仁司(ピー・シー・エー株式会社 品質管理本部 システム検証部 次長)
高田 寿久(株式会社フォーラムエイト 執行役員 本社システム部マネージャー)
太田 猛 (株式会社ユビキタス 研究開発本部 品質保証グループ)
太田 純 (リコージャパン株式会社 ICT技術本部 ドキュメントSIセンター ソリューション開発室)
一般社団法人コンピュータソフトウェア協会とは
略称「CSAJ」は、自社で市場ニーズを分析し、企画、開発、商品化した既成ソフトウェア(企画開発型ソフトウェア)を販売、あるいはそれを利用したサービスを提供している企業を中心とした業界団体です。われわれCSAJは、「シンクタンク化」、「グローバル化」、「ビジネスチャンス拡大」の3つの方針を掲げ、イノベーションとIT化の促進を通じて我が国経済の発展と国民生活の向上に寄与しています。
参考
証明書によるソフトウェアの安全と安心を担保するために、会員企業のサイバートラスト株式会社より、実績で定評のある米国DigiCert(デジサート)社のEV コード署名証明書が、会員向け特別価格で購入できます。
お問い合わせ先
一般社団法人コンピュータソフトウェア協会(CSAJ)
事務局 戸島、鈴木 お問い合わせフォーム
TEL:03-3560-8440
〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル4F