03C アプリ・開発実装基準
目的
本基準は、アプリ・開発担当が満たすべき実装基準を定義する。対象には、要件、設計、コード、API、認証、認可、入力検証、セッション、エラー処理、依存関係、CI/CD、リリース、AI実装を含める。
必須実装基準
| 領域 | 基準 | 統制目的ID | 必須証跡 |
|---|---|---|---|
| セキュア設計 | 要件、設計、実装、テスト、リリースにセキュリティ確認を組み込む。 | S-01 | SDLC定義、レビュー記録 |
| 脅威レビュー | Tier 0/1と外部公開システムでは、脅威モデリングまたはリスクレビューを実施する。 | S-02 | 脅威モデル、設計レビュー |
| 認証 | 標準IdPまたは承認済み認証方式を使用する。独自認証は例外承認を必要とする。 | I-01、S-03 | 認証設計、IdP設定 |
| 認可 | サーバ側で権限判定を強制し、管理機能、API、データ単位の認可を設計する。 | I-04、S-03 | 認可設計、テスト結果 |
| 入力・出力 | 入力検証、出力エンコード、ファイル検査、エラー情報制御を実装する。 | S-03 | コードレビュー、テスト結果 |
| セッション | セッションID、トークン、有効期限、失効、Cookie属性を安全に設定する。 | S-03 | 設定、テスト結果 |
| 秘密情報 | シークレットをコード、ログ、成果物へ混入させず、承認済み保管先を使用する。 | I-07、S-06 | シークレットスキャン結果 |
| SAST/SCA | SAST、SCAをCI/CDへ組み込み、重大検出はリリース判断に反映する。 | S-04、S-05、V-01 | CI/CD結果、SCA結果 |
| DAST/API検査 | 外部公開またはTier 1以上では、DASTまたはAPI検査を実施する。 | S-04、P-04 | DAST結果、修正チケット |
| SBOM | 重要システムではSBOMまたは依存関係一覧を生成し、脆弱性対応へ接続する。 | S-05、T-01 | SBOM、依存関係一覧 |
| リリース | リリース承認、ビルド証明、署名、ロールバック手順を管理する。 | S-07 | リリース承認、署名ログ |
| AI実装 | AI入力、出力利用、人間承認、モデル設定、プロンプト管理を定義する。 | AI-01、AI-02、AI-03、AI-05 | AI利用台帳、評価ログ |
セキュリティゲート
次の条件に該当する場合、本番リリース前にゲート判定を行わなければならない。
| 条件 | ゲート内容 |
|---|---|
| 外部公開Web/API | 認証、認可、入力検証、WAF/API制御、ログの確認。 |
| Tier 0/1 | 脅威レビュー、SAST/SCA、重大脆弱性、リリース承認の確認。 |
| 機微データ処理 | データ分類、暗号化、アクセス制御、ログ秘匿、削除要件の確認。 |
| CI/CD変更 | シークレット、権限、署名、ブランチ保護、承認条件の確認。 |
| AI/Data利用 | 入力データ、外部送信、人間承認、出力利用範囲の確認。 |
禁止事項
- 認可をクライアント側表示制御だけに依存してはならない。
- シークレット、APIキー、認証情報をソースコード、ログ、成果物へ保存してはならない。
- 重大脆弱性が未修正または例外未承認の状態でリリースしてはならない。
- SBOMまたは依存関係一覧を生成できない重要システムを、代替証跡なしに運用してはならない。
- AI出力を、人間承認条件なしに重要業務判断へ使用してはならない。
評価指標
| 指標 | 基準 |
|---|---|
| セキュリティレビュー実施率 | Tier 0/1および外部公開は100%。 |
| CI/CDセキュリティゲート適用率 | Tier 0/1は100%。 |
| 重大検出リリースブロック率 | 重大検出は修正または例外承認がない限り100%ブロック。 |
| SBOM生成率 | Tier 0/1は100%。Tier 2は重要度に応じて適用。 |
| シークレット検出件数 | 検出時は即時無効化、ローテーション、原因分析を行う。 |