アプリケーションのセキュリティ設計

SLDC のそれぞれのフェーズで、セキュリティに関しては、次のような活動を含む

〇要件定義

要求をもとに、何をする、何をしないかを明確にする

ユースケースを書くときは、利用者の誤った使用についても

考慮する必要がある

また、この工程では、リスクについて、分析し、理解を深める

〇設計


設計段階では、システム全体および個々のコンポーネントレベルでの

セキュリティ対策を考える

システム全体では、ソフトウェアに対する攻撃の防御策を考え

脆弱性や脅威のインパクトから、デザインを決定する必要がある


コンポーネントレベルでは、それぞれのコンポーネントをどのように作るかを決定する


〇実装

次のようなことに、気をつける必要がある


・適切なエラーハンドリング

・適切な入力チェック

・適切な暗号の利用

・SQL Injection対策

SQLで利用されるInput は、検証済みのものにする

・エラー画面や、ログから、重要な情報が漏れないようにする

・ネットワーク上に、重要な情報を、平分で流さない

・ディスク等に重要な情報を残さない