はじめに
本書の目的
この章では、Webのセキュリティ要件を効率よく調べるための基本方針を示します。守る対象を整理し、必要な防御レベルに応じた検索キーワードの組み立て方を学べます。実務で使える実例を交えて進めます。
誰に向けているか
開発者、セキュリティ担当、プロダクトオーナー、これから要件を作る人すべてに向けています。専門知識が深くなくても、実務で使える情報を見つけられるよう配慮しました。
調べる前に決めること
- 守る対象(例:ユーザーデータ、管理画面、API、インフラ)を明確にします。
- 必要なレベルを分類します(基本的な入力検証〜高度な侵入対策)。
- スコープを決めます(機能単位かシステム全体か)。
検索の基本方針
対象+要件+文脈でキーワードを組みます。例:「ログイン CSRF 対策 実装例」「API 認証 JWT ベストプラクティス」。得た情報は複数の信頼できる出典で裏付けし、実環境での検証を忘れないでください。
注意点
情報は更新されます。公開日や出所を確認し、必要なら専門家に相談してください。
基本的な考え方
この章の目的
情報を探す前に、何を確保したいのかを決めると効率が上がります。本章では、まず軸となる考え方を示します。
情報セキュリティの3要素(CIA)
- 機密性(Confidentiality): 許可された人だけが情報を見られること。例:顧客情報を部署ごとに閲覧制限する。
- 完全性(Integrity): 情報が正しく保たれること。例:取引データが改ざんされない仕組み。
- 可用性(Availability): 必要なときに情報やサービスが使えること。例:業務時間中にシステムが止まらない対策。
観点を決める方法
まず業務で困っている事柄を具体化します。顧客情報流出が怖ければ機密性、データ誤りが問題なら完全性、停止が多ければ可用性を優先します。優先度を決めると、探す資料の方向が明確になります。
検索ワードの組み合わせ例
- 要件定義 機密性 チェックリスト
- 非機能要件 可用性 障害対応 テンプレート
- ガイドライン 完全性 ログ監査 事例
語を複数組み合わせると実務で使える資料にたどり着きやすくなります。
探すときのコツ
- まず自社の業務に近いキーワードを使う。業界名やシステム種別を入れると絞れます。
- 「チェックリスト」「テンプレート」「事例」を付けると実務向けの資料が出やすいです。
- 見つけた資料は目次やチェック項目だけでも確認して、目的に合うか素早く判断します。
検索キーワード例(日本語)
以下では目的別にすぐ使える日本語の検索キーワード例を挙げます。ワードは短めにして組み合わせて使うと効果的です。
1) 全体像を知りたいとき
- 「〇〇 基本 概要」
- 「〇〇 仕組み 図解」
- 「初心者向け 〇〇 解説」
使い方例:『クラウドバックアップ 基本 概要』で全体像を掴めます。
2) 要件定義書・チェックリストが欲しいとき
- 「〇〇 要件定義 サンプル」
- 「〇〇 要件チェックリスト」
- 「〇〇 仕様書 テンプレート 無料」
使い方例:『電子申請 要件定義 サンプル』で実例を探せます。
3) 技術要素別に深掘りしたいとき
- 「〇〇 API 使い方 例」
- 「〇〇 パフォーマンス 最適化」
- 「〇〇 セキュリティ ベストプラクティス」
使い方例:『画像処理 パフォーマンス 最適化』で具体的な手法を見つけられます。
検索のコツとしては、目的(理解/テンプレート取得/技術調査)を最初に決め、キーワードを短く保ちながら補助語を加えることです。
「要件」の粒度を決める
概要
プロジェクト初期は方針レベル(組織の方向性)を探す場面が多く、仕様を固める段階では実装レベル(具体的な技術や手順)が必要になります。目的に応じて検索キーワードの粒度を変えると効率が上がります。
方針レベル(上流)
- 使う場面:経営判断、要件定義の大枠作成、コンプライアンス確認
- キーワード例:情報セキュリティ基本方針、セキュリティ要件定義、個人情報保護方針
- 検索のコツ:”事例”や”テンプレート”を加えると全体像が掴みやすいです。
実装レベル(下流)
- 使う場面:設計書作成、コーディング、運用ルールの詳細化
- キーワード例:パスワードポリシー 設計基準、CSRF 対策 実装ガイド、OAuth2 実装例、SQLインジェクション 対策
- 検索のコツ:使用する言語やフレームワーク名を追加すると具体的な手順が見つかります。
粒度の決め方の手順
- 目的を明確にする(検討か実行か)
- 対象読者を想定する(経営層、開発者、運用担当者)
- リスクや法的要件の有無で優先度を決める
- 大枠の情報をまず集め、必要に応じて実装レベルへ掘り下げる
この流れで検索キーワードを変えると、必要な情報に速く辿り着けます。
比較・ベストプラクティスを調べたいとき
標準やガイドラインをベースに要件を探す際は、発行元と用途を意識して検索すると効率的です。OWASP、総務省、NISCなどのキーワードを含めると信頼性の高い情報が見つかりやすくなります。
目的別の検索キーワード例
- Webアプリの脆弱性対策:”OWASP Top 10 日本語”、”Webアプリ セキュリティ ガイドライン”
- 組織向けセキュリティ基準:”総務省 情報セキュリティ ガイドライン”、”NISC セキュリティ基準”
- 暗号や認証:”暗号 ガイドライン site:go.jp”、”認証 ベストプラクティス スマホアプリ”
比較の手順(実務向け)
- 主要なガイドを複数収集する(表題・発行元・発行日を記録)。
- 知りたい観点ごとにチェックリストを作る(例:認証方式、ログ管理、暗号レベル)。
- 各ガイドを一覧にして一致点・差分を洗い出す。差分がある場合は最新日付と対象範囲を優先します。
信頼性を見極めるポイント
- 発行元(政府機関や業界団体)は重視する。
- 発行日や改訂履歴を確認する。
- 実装例やチェックリストがあると実用性が高い。
検索のコツ(具体例)
- 複合ワードで絞る:”Web アプリ セキュリティ ガイドライン OWASP 2021″。
- 国や業界を限定:”site:go.jp 総務省 セキュリティガイド”。
- 比較記事を探す:”OWASP vs NISC 比較” や “ベストプラクティス 一覧”。
こうした方法で探すと、信頼できる標準に基づいた要件設計が進めやすくなります。
