Webアプリケーション更改時のセキュリティ要求／要件獲得手法の検討

摘要

近年，インターネットに公開されているWebサイトに対して，日常的に不正アクセスが行われている．それにともない，情報セキュリティ対策の重要性が認識されてきた．しかし，発注者がセキュリティ対策を受注者に任せっきりの状況があり，開発の最上流からセキュリティを考慮した対策が行われないことが，脆弱性を生む一因となっている．受入試験での確認を前提に，筆者らは，必要とされるセキュリティ知識を極力減らすために，システム機能ベースセキュリティパターンを拡張した手法を検討している．それにより，発注者でもセキュリティ要件を導き出すことが可能になることが期待できる．本稿では，検討中の手法を紹介するとともに，Webアプリケーション更改時のセキュリティ要求／要件を獲得するためのアプローチに関する検討状況を示す．