論文 Software Application Security Test Strategy with Lean Canvas Design

公開されている論文

Software Application Security Test Strategy with Lean Canvas Design

のキモ部分です。

1.概要

この論文は、ソフトウェアのセキュリティテスト計画に対して

リーンキャンパスデザインが、利用できるかを検証するもの


2.問題

セキュリティの品質を保持するチームは、多くの問題に直面する

・セキュリティテスト戦略の不足

・セキュリティテストが早期に開始できない

・セキュリティテストに精通した要因がいない

・適切なツールがない

・適切なテスト計画やテストデータがない


3.SDLCにおけるセキュリティテストとリーンキャンパスデザイン

SDLCにおけるセキュリティテストは、以下のように扱われる

(1)要件定義

セキュリティ要件や、誤利用などのテストケースを分析する。

(2)設計

システムのリスク分析を行う

(3)コーディングとユニットテスト

認証・認可、暗号化、入力の検証やエンコーディング

ユーザセッションの管理、エラーと例外ハンドリング、

監査とロギングなどの実装とテスト

(4)総合テスト

ブラックボックスでのテスト

(5)システムテスト

SQLインジェクションなどのホワイトボックステスト

(6)稼働

脆弱性のSCANや、ペネトレーションテスト

(7)サポート

ソフトウェアのパッチ、アップデート


4.アジャイルとセキュリティテストの関連

(1)新しいイテレーションの開始

セキュリティ要求の収集

(2)ユーザーストーリー

セキュリティアーキテクチャのレビュ

(3)ユーザーストーリーの実装

アプリケーションの脆弱性の検査

(4)Deploy

外部のセキュリティテスト


5.セキュリティアーキテクチャの概要

(1)要求

・ユーザーストーリー

・アーキテクチャやシステムコンポーネントのリスク分析

・セキュリティ要求の詳細化

(2)設計

・リスク分析

・脅威モデル

(3)コーディング

コードのレビュ

(4)テスティング

ペネトレーションテストなど

(5)リリース

セキュリティポリシーの設定、セットアップ

(6)保守

オペレーションのセキュリティ