これは何?
- Webアプリケーションのセキュリティを考える上で依り所となるドキュメントをかき集めたもの
- 何に対して対策していったら良いか?を考える糸口を作るもの
ドキュメント
セキュリティ全般(全体)
- PCI DSS(= Payment Card Industry Data Security Standard)
- クレジットカード業界におけるグローバルセキュリティ標準
- 使用許諾に同意後、PDFでダウンロード可能。(日本語)
- FISC(金融情報システムセンター:Center for Financial Industry Information Systems)
- FISCより発行される「金融機関等コンピュータシステムの安全対策基準・解説書」のことを指す。
- 項目例(総務省資料より)(日本語)
- AWSのFISC回答(日本語)
- ソフトウエアセキュリティ保証成熟度モデル
- OWASP(=Open Web Application Security Project)によるソフトウェア開発にセキュリティを組み込むための手引き
- PDF(日本語)
- ISMS(情報セキュリティマネジメントシステム:Information Security Management System)
- JIS Q 27001:2014
- http://kikakurui.com/q/Q27001-2014-01.html (HTML、画像なし、非公式)
- 元リンクが張れないので、たどり方を。
- http://www.jisc.go.jp/app/JPS/JPSO0020.html へ行って、「JIS規格番号からJISを検索」の検索テキストボックスに「Q 27001」のキーワードで検索 (ダウンロード禁止、IE Only?)
Webアプリケーション
- 「安全なウェブサイトの作り方」改訂第7版
- IPA(情報処理推進機構)発行のセキュリティ対策実装の冊子
- PDF(日本語)
- Webシステム/Webアプリケーションセキュリティ要件書 2.0
- OWASP(=Open Web Application Security Project)によるWebアプリケーション(システム)のセキュリティ要件
- PDF (日本語)
- https://github.com/OWASP/www-chapter-japan/tree/master/secreq
- Webアプリケーション開発者が気を付けるべき10のセキュリティ技術
- OWASP発行
- PDF (日本語)
- アプリケーションセキュリティ検証標準
- OWASP発行
- PDF (日本語)
- OWASP Top 10 (2013年)
- OWASP発行
- PDF(日本語)
- OWASP Top 10(2017年)
- OWASP発行
- PDF (日本語)
クラウド
- 「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」
チェックリスト
- OWASP Cheat Sheet Series のタイトル日本語訳
- リンク (リンク先ドキュメントは英語)
- 日本語訳リンク
- セキュリティ実装チェックリスト
- 「安全なウェブサイトの作り方」改訂第7版のチェックリスト版
- エクセル
- ソフトウェア出荷判定セキュリティ基準チェックリスト
- 一般社団法人コンピュータソフトウェア協会発行
- http://www.csaj.jp/NEWS/committee/security/160713_sec-release-decision.html
Java言語
- Java セキュアコーディングスタンダード CERT/Oracle 版
- Java アプリケーション脆弱性事例解説資料
Ruby言語
- Rails セキュリティガイド
- https://railsguides.jp/security.html