この文書では, Webアプリケーションの脆弱性診断についての標準を規定する.
外部にサービスを行なうWebアプリケーションは, 攻撃されるリスクがある. このため, すでにリリースされているサービスについては定期的な診断をしなければならない. また, サービスに新しくリリースを行なったり新しい機能を追加する場合には, リリース前に診断を行なう必要がある.
脆弱性診断には大きくわけて次の2つの方法を用いる.
(ECナビ固有の情報のため削除)
定期診断以外に必要な際には随時診断を行なう.
随時診断を行なうのは, 新サービスリリース時, リニューアル時, 機能追加時, その他情報セキュリティ委員会/事業部が必要と判断した場合である.
外部診断/内部診断のどちらを行なうかは, サービスの開発者が判断する. ただし情報セキュリティ委員会が外部診断が必要と判断した場合には外部診断を行なう.
随時診断は, サービスのリリース前など, 事前に行なうことを推奨する.
サービスの開発者は, 診断の結果脆弱と判断された項目に対してすべて対応しなければならない. ただし, 結果に間違いがあると判断した場合もしくはリスクが軽微であると判断した場合に, 対応しない項目があってもよい. 診断結果への対応は, 情報セキュリティ委員会に報告しなければならない.
情報セキュリティ委員会は, サービスの開発者の診断結果への対応を監査しなければならない.
脆弱と判断された項目が多かった場合など, 情報セキュリティ委員会が外部診断が必要と判断した場合, もしくはサービスの開発者の要望がある場合に, 既存の指摘事項への対応後に再度診断を行なうことがある.
情報セキュリティ委員会は, 診断方法/回数/対象サービスなど半期ごとに見直さなければならない. また, 資源の許す範囲で新たな業者/診断方法を検討する必要がある.