4. セキュリティ標準(社外サービス向け)

• 4.1. データバックアップの標準
• 4.2. 情報の暗号化の標準
  • 4.2.1. 概要
    • 4.2.1.1. Webアプリケーションでの暗号化の方法
      • 4.2.1.1.1. どこで暗号化するか
      • 4.2.1.1.2. 共通鍵暗号
      • 4.2.1.1.3. 暗号モード
      • 4.2.1.1.4. 鍵の管理
  • 4.2.2. 情報の正真性の保証
    • 4.2.2.1. 正真性の保証の方法
      • 4.2.2.1.1. 保証を行なう場所, 鍵の管理
      • 4.2.2.1.2. MAC
  • 4.2.3. 機密情報のDBからの消去
  • 4.2.4. 機密情報の削除/廃棄
  • 4.2.5. ファイルの安全な削除ツール
  • 4.2.6. 機密情報の他者とのやりとり
    • 4.2.6.1. ファイルの暗号化
  • 4.2.7. その他の注意事項
• 4.3. カスタマーサポートの標準
• 4.4. 外部サービス利用の標準
  • 4.4.1. 概要
  • 4.4.2. 外部VPS
  • 4.4.3. 外部レポジトリサービス
• 4.5. セキュリティ事故の対応の標準
  • 4.5.1. 概要
  • 4.5.2. セキュリティ事故とは
  • 4.5.3. 事故のレベル
  • 4.5.4. 事故発生の通報
  • 4.5.5. 事故対応
    • 4.5.5.1. 状態の保存
    • 4.5.5.2. 対応の記録
    • 4.5.5.3. 外部業者への依頼
  • 4.5.6. 復旧後の対応
    • 4.5.6.1. 社内向け報告書の作成
    • 4.5.6.2. 事故の検討
    • 4.5.6.3. 関連企業への連絡
    • 4.5.6.4. 公的機関への報告
    • 4.5.6.5. 事故情報の公開
• 4.6. パスワードの標準
  • 4.6.1. 概要
  • 4.6.2. パスワードの長さ
    • 4.6.2.1. 最小
    • 4.6.2.2. 最大
  • 4.6.3. パスワードの文字種
  • 4.6.4. パスワード変更機能
  • 4.6.5. パスワードリマインダ機能
  • 4.6.6. パスワードの期限
  • 4.6.7. ユーザへの啓蒙
  • 4.6.8. パスワード以外での認証
  • 4.6.9. パスワード情報の保存
    • 4.6.9.1. 生パスワード保存の禁止
    • 4.6.9.2. 推奨されるパスワード保存方式
      • 4.6.9.2.1. DBに保存する情報
      • 4.6.9.2.2. アルゴリズム情報
      • 4.6.9.2.3. base64されたサルト(salt)
      • 4.6.9.2.4. base64されたハッシュ化パスワード
        • 4.6.9.2.4.1. ハッシュ関数
        • 4.6.9.2.4.2. ハッシュ関数の繰り返し回数
• 4.7. 情報の取り扱いの標準
  • 4.7.1. 概要
  • 4.7.2. 情報のレベル
  • 4.7.3. 機密情報を扱うサービスの新規開始
  • 4.7.4. 機密情報の保存時の暗号化
    • 4.7.4.1. 暗号化方式の変更への対応
  • 4.7.5. 機密情報の通信の暗号化
  • 4.7.6. 機密情報へのアクセス権限管理とアクセスログの取得
    • 4.7.6.1. アクセス権限管理
    • 4.7.6.2. ログの取得
    • 4.7.6.3. アクセスログの監視
    • 4.7.6.4. アクセスログの保持期間
  • 4.7.7. ユーザIDによる名寄せの防止
    • 4.7.7.1. サービスのユーザIDの外部提供
    • 4.7.7.2. 外部のユーザIDの利用
• 4.8. スマートフォン開発の標準
• 4.9. 外部ソフトウェア利用の標準
  • 4.9.1. 概要
  • 4.9.2. 背景
  • 4.9.3. 新規外部ソフトウェアの採用
  • 4.9.4. 外部ソフトウェアの安全性の確認
• 4.10. Webアプリケーション開発の標準
  • 4.10.1. 概要
  • 4.10.2. 「安全なウェブサイトの作り方」への準拠
  • 4.10.3. 「安全なウェブサイトの作り方」への補足事項
    • 4.10.3.1. 1.1 SQLインジェクション
    • 4.10.3.2. 1.4 セッション管理の不備
    • 4.10.3.3. 1.5 クロスサイト・スクリプティング(XSS)
      • 4.10.3.3.1. XSS対策まとめ
      • 4.10.3.3.2. JavaScript利用時の注意
    • 4.10.3.4. 1.6 クロスサイト・リクエスト・フォージェリ(CSRF)
    • 4.10.3.5. 2.3 ネットワーク盗聴への対策
    • 4.10.3.6. 2.4 パスワードの不備
  • 4.10.4. Webアプリケーションセキュリティチェックシート
  • 4.10.5. その他の遵守事項
    • 4.10.5.1. 利用者の退会の対応
    • 4.10.5.2. 利用者へのメールでの連絡
      • 4.10.5.2.1. 機密情報の記述の禁止
      • 4.10.5.2.2. メールのサンプルの表示
    • 4.10.5.3. ログインなどの履歴の保持と利用者への表示
    • 4.10.5.4. 2要素認証
    • 4.10.5.5. HTTPS
      • 4.10.5.5.1. HTTPS で保護されたページでの画像・CSS・JavaScript
      • 4.10.5.5.2. httpページにhttpsページの(i)frameの禁止
    • 4.10.5.6. HTTP
      • 4.10.5.6.1. X-Content-Type-Options: nosniff の付与
      • 4.10.5.6.2. X-Frame-Options の付与
      • 4.10.5.6.3. その他のヘッダ
  • 4.10.6. IPアドレス制限
• 4.11. Webアプリケーション 脆弱性診断の標準
  • 4.11.1. 概要
  • 4.11.2. 脆弱性診断に用いる方法
  • 4.11.3. 定期診断
  • 4.11.4. 随時診断
  • 4.11.5. 診断結果への対応
  • 4.11.6. 再診断
  • 4.11.7. 診断方法/回数/対象サービスなど見直し