システム方式設計書(アプリケーション方式設計書)にはどんなことを書いたらいいのでしょうか。
必要だから書かなければならない。
しかし、どんなことを書いたらいいのかわからない。
なんてことも多いのではないでしょうか。
具体的にどんなことを書いたらいいのかを示したいと思います。
今回はセキュリティ方式です。
セキュリティ方式に書くこと
セキュリティ方式ではセキュリティ要件の有無を明らかにすること。
その対策をどのように行うかを決めます。
多くの対策はミドルウェアなどで実現されているので方式設計で改めて設計することは少ないです。
セキュリティ方式の「概要」に書くこと
各セキュリティ要件について実施の有無を明らかにします。
どのようなセキュリティ対策が必要か例を挙げます。
・クロスサイトスクリプティング
・SQLインジェクション
・OSコマンドインジェクション
・パラメータ改ざん
・セッションハイジャック
・クロスサイトリクエストフォージェリ
・ディレクトリトラバーサル
セキュリティ方式の「方式設計」に書くこと
概要で必要としたセキュリティ対策について、どのように実現するのかを設計します。
多くの場合、ミドルウェアの機能で実現できます。
ミドルウェアの機能を利用する場合はその旨を記載し、作成する場合は設計を行います。
セキュリティ方式の「実装方式」に書くこと
セキュリティを実現するために、開発者の実装が必要な場合は実装方法を説明します。
例えばSQLインジェクション対策は実装方法で考慮が必要な場合があります。
コメント