ISO/IEC27001:2022附属書A新管理策「8.28セキュリティに配慮したコーディング」解説
公開:
ISO/IEC27001:2022附属書A新管理策「8.28セキュリティに配慮したコーディング」解説
情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。管理策とは、ISO/IEC27001の附属書Aに記載された情報セキュリティリスク対策です。
このコラムでは、新規格であるJISQ27001:2023(ISO/IEC27001:2022)への改訂にあたり新たに設けられた管理策を順次解説します。
前回のテーマは「8.23 ウェブフィルタリング」の解説でした。11回目のテーマは、「8.28 セキュリティに配慮したコーディング」の解説です。
「8.28 セキュリティに配慮したコーディング」内容
ソフトウェアの開発を行っている組織を想定した予防を目的とした管理策になります。強固なプログラム(脆弱性のないプログラム)を書くことを要求し、自社が使用する場合だけでなく、他社に提供する場合も対象とすることを推奨しています。
【実装例】
- 計画段階(コーディング前)
脆弱性情報の収集、IDE等のツールの利用、開発ツールの保守、開発者の力量の担保(セキュリティに配慮したコーディングの知識を備えていること)、開発環境の限定(決められた環境での開発) - コーディング中
ペアプログラミング等の手法の利用、セキュリティに配慮しない設計手法(ハードコーディング等)の禁止、開発後だけでなく開発中の試験の実施 - レビュー及び保守時
パッケージ化した更新、報告されたぜい弱性への対応、エラーログ等の定期的な取得とレビュー、ソースコードのアクセス制御、外部ライブラリの管理(版管理)
まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください
受付時間:平日 9:00~18:00