3.2.2 主なセキュリティテスト計画要素

セキュリティテスト計画の重要な要素は以下のとおりです。それぞれは与えられたプロジェクトのために特定の質問をすることによって決定することができます。

セキュリティテストの範囲を特定する

* 範囲内と範囲外はどれですか？
* プロジェクトのリソース、セキュリティ上のリスク、および時間的制約を考慮して達成可能なことは何ですか？

誰がセキュリティテストを実行すべきかを特定する

* 組織に適切なセキュリティテストのスキルを持つ人はいますか？
* 組織はセキュリティテストのアウトソーシングに満足していますか？
* 市販のソフトウェアとベンダーが開発したソフトウェアの場合、どのセキュリティテストがベンダーの責任であり、どれがユーザーの責任ですか？
* セキュリティテスターは特定のセキュリティテストツールの使用に関するトレーニングを必要としますか？

他のテストスケジュールを考慮して、適切なセキュリティテストのスケジュールを作成する

* 他のテストを実施する前に、どのセキュリティ関連の項目を実装してテストする必要がありますか？ （アクセス権やログインなど）
* セキュリティ機能はいつテストに利用できますか？
* 計画されたリソースと範囲を考慮してセキュリティテストを実行するのにどのくらいの時間がかかりますか？

実行するタスクとそれぞれに必要な時間を定義する

* 計画されたリソースと範囲に基づいて適切なセキュリティテストを設計するのにどのくらいの時間が必要ですか？
* セキュリティテストの結果を評価し報告するためにどのくらいの時間が必要ですか？
* 回帰テストはセキュリティに関係するため、どのくらいの時間が必要ですか？
* セキュリティテスト環境を確立するためにどのくらいの時間が必要ですか？

セキュリティテスト環境を定義する

* 環境の範囲は？ （プラットフォーム、テクノロジ、サイズ、場所）
* 新しい環境ですか？
* どのセキュリティテストツールおよびその他のテストツールを環境にインストールする必要がありますか？

セキュリティテスト活動の承認を取得する

* セキュリティテストを承認するのは誰ですか？
* その承認はいつ必要になりますか？
* 予算と資金は十分ですか？

他のプロジェクト成果物と同様に、セキュリティテスト計画は完全性と正確性を評価するためにレビューするべきです。セキュリティテストは多くの場合技術的なものであるため、テクニカルレビューセッションが最も適切な方法です。ウォークスルーやインスペクションも適しています。

標準のチェックリストは、レビューセッションで取り上げられる内容のベースを形成するのに役立ちます。他のレビューと同様に、フィードバックは建設的で、セキュリティテスト計画の作成者を対象としていません。
レビューチームには、セキュリティテスト計画で説明されているセキュリティ面の影響を受けるすべての分野の知識豊富な人々を含める必要があります。レビューチームのメンバーは、必ずしもセキュリティテスターであるとは限らず、セキュリティの専門知識を持っているとは限りません。たとえば、事業のマネージャは、セキュリティテスト計画に記録されるべきセキュリティリスクについての情報を持っているかもしれません。 IT監査人とセキュリティ管理者は、セキュリティポリシーと手順に関する知識があるため、セキュリティテスト計画のレビューに特に役立ちます。

JSTQB AL セキュリティテスターの目次

3 セキュリティテストプロセス