SYSTEM-8-8

クライテリア

開発企画要件の段階で、設計レベルのセキュリティレビューが実施されていない。(Security by Designの未実施)

タイプ

セキュリティシフトレフト

観点

アンチパターン

FAQ

Q.開発企画要件の段階で設計レベルのセキュリティレビューが実施されていないと、どういうリスクがありますか?

セキュリティ対策の漏れの検知が遅れ、システム稼働までに必要となる期間・コストに影響を与える可能性があります。内部犯行による情報漏洩や外部からの攻撃によるサービス品質保証の低下などの観点だけでなく、本人認証の実現方式や外部サービスとの接続方式に問題があることが顕在化した場合、サービスのデザインや実現方式を再定義しなければならなくなる可能性もあります。

用語解説

セキュリティレビュー

セキュリティ対策漏れを早期に検出し、開発チームにフィードバックすることを目的としたレビュー。主にセキュリティ要件に対する対策漏れがないか、という観点と、既知の脆弱性パターンに照らして問題がないか、という観点からのレビューが求められます。

参考資料

  • Center for Internet Securityが提供するCISベンチマーク