More Related Content
Similar to 20100731.jissen.swtest securitytest
Similar to 20100731.jissen.swtest securitytest (20)
More from Shinsuke Matsuki
More from Shinsuke Matsuki (9)
20100731.jissen.swtest securitytest
- 3. 「 ADT 設計手法」
アクター、データ、テストの 3 つの分野につい
て網羅できるように設計する
そのうえで、コンフィギュレーションテストに
アクターとデータのメトリクスを用いる
加えてペネトレーションテストがセキュリティ
の 3 大要素 (ISO27000) を網羅するように計画す
る
2010 Shinsuke.Matsuki
- 5. では実践!
課題
2010 Shinsuke.Matsuki
- 6. テスト対象のシステムの例示
自分の位置情報を時系列で保存し、いつでも閲覧できる
web サイト
• ユーザー ID( メールアドレス ) とパスワードを入力し、ログイ
ンする
• 初回登録時に、年齢、性別、地域を必須入力とする。
• 許可したユーザーに対して、そのリストを公開することができ
る。公開はいつでも停止可能。
• また、自分の位置情報画面には簡易な掲示板システムが組み込
まれており、自分と許可されたユーザーが自由に書き込みを行
うことができる。
2010 Shinsuke.Matsuki
- 7. 仕様
ユーザー 1 人に紐付ける情報は下記の通り
• ログイン情報
• 位置情報リスト
• 掲示板データ
• ユーザー情報
• 許可ユーザーリスト
画面は下記のとおり
• ログイン画面
• ユーザーの時系列位置情報リスト表示画面
• + 掲示板
• 自分が閲覧できるほかユーザーのリスト画面 (+ 停止ボタン )
• ほかユーザーの時系列位置情報リスト表示画面 ( 許可されている
もののみ )
• ほかユーザーへ公開リクエストを出す画面 ( ユーザ ID を指定 )
• ほかユーザーからのリクエストを表示&許諾選択を行う画面
2010 Shinsuke.Matsuki
- 13. その 3 付則
・ v0.1 では、コンフィギュレーションテストと、ペネトレーションテストを
デフォルトとする。省略は許可されない。
・コンフィギュレーションテストのうち、「アクセス」については、
手順 1 と 2 で既に洗い出されている情報を用いてメトリクスを作成する。
升目 1 つが 1 テストケース
・コンフィギュレーションテストのうち、
「認証」と「暗号化」について v0.1 ではテスト技法を特定しない
・ペネトレーションテストは対向ドメインにマッチしたものを
可能な限り広範に洗い出すこと
・ペネトレーションテストを検討する際、ダメージ種の検討を MUST とする。
この時、機密性 / 完全性 / 可用性が必ず 1 回以上出現すること
2010 Shinsuke.Matsuki
- 14. できました?
2010 Shinsuke.Matsuki