2.6.1 セキュリティテストアプローチの分析

各組織には、ビジネス上およびミッション上の固有の問題があり、そのために、セキュリティリスクを特定して軽減するための固有のセキュリティテスト戦略とアプローチが必要となります。ただし、多くの組織に共通のセキュリティ上の問題もいくつかあります。

セキュリティテストのアプローチはプロジェクトレベルで定義されており、組織のテストポリシーと戦略と一致している必要があります。
プロジェクトのセキュリティテストのアプローチは、そのプロジェクトのセキュリティテストの目標に対処するためのテクニック、ツール、およびスキルを独自に組み合わせたものになります。

セキュリティテストアプローチを定義する目的で状況を分析するときは、次の点を考慮する必要があります。
* システムまたはアプリケーションの出所
* 以前のセキュリティテスト
* セキュリティポリシー
* セキュリティテストの方針
* 組織内で既に実行されているセキュリティリスク評価
* 使用中の技術環境（ソフトウェアの種類とバージョン、フレームワーク、プログラミング言語、オペレーティングシステムなど）
* テストチームのセキュリティテストスキル
* 一般的なセキュリティリスク
* テスト組織構造
* プロジェクトチーム構造
* テストチームのさまざまなセキュリティテストツールに関する経験
* 制限（例：限られたリソース、限られた時間、環境へのアクセスの欠如）
* 前提条件（実施された他の以前の形式のセキュリティテストに関する前提条件など）

技術環境やアプリケーションの種類（クライアント/サーバー、Web、メインフレームなど）が異なると、セキュリティテストのアプローチや戦略も異なることがよくあります。
たとえば、ソフトウェアの開発ではコード内のセキュリティの脆弱性を検出するためにコードレビューが必要な場合がありますが、ソフトウェアのテストではテストデータの難読化が必要な場合があります。 Webベースのアプリケーションにはメインフレームシステムとは異なる脆弱性があるため、さまざまな種類のセキュリティテストが必要です。

一部の脆弱性は複数のテクノロジに共通しています。
たとえば、バッファオーバーフローの脆弱性は、クライアントサーバー、Web、およびモバイルアプリケーションで発生する可能性があり、各テクノロジでのメモリ管理の処理方法によって異なります。結果はすべての環境で同じです。バッファオーバーフローは、攻撃者がアプリケーションにアクセスして通常は許可されないタスクを実行する可能性がある、予測不可能なソフトウェアの動作のことです。

不適切なデータ保護は、あらゆるテクノロジまたは環境で発生する可能性があります。
ただし、Web環境とモバイル環境でのデータの暗号化は、メインフレーム環境とは異なります。
暗号化アルゴリズムは同じ（または類似）かもしれませんが、違いは、Webおよびモバイルアプリケーションの場合、データはインターネット経由で転送中に保護される必要があるという点です。
すべての技術において、機密データは暗号化フォーマットで保存されるべきです。
機密性の高いメインフレームデータが暗号化されていない形式で物理的に（テープを使用して）他の当事者に送信された以下の事件が過去にはありました。
「個人向けローンと債務の回収を専門とするCattles Groupは、約140万人の顧客のための情報を含む2本のバックアップテープを紛失したことを認めました。」[ComputerWeekly]

JSTQB AL セキュリティテスターの目次

2 セキュリティテストの目的、目標、および戦略