セキュリティ基本要件

昨日の続き。も少し詳細に落とさないと訳分からないかも。

1. システム管理者と一般ユーザーの区別があること
   • システム管理者は、各種設定の変更、ユーザーの追加、データのバックアップ等メンテナンスに必要な機能のみ利用できる物とする
   • 一般ユーザーは、通常業務で使用できる機能のみ利用できるものとする
   • 一般ユーザーが利用するプログラムとシステム管理者が利用するプログラムは別であることが望ましい
2. ユーザーの識別が可能な場合、ユーザーの成りすましが出来ないこと
3. システムで使用するデータについて機密性・完全性・可用性を勘案し、必要に応じて適切な対策が採られていること
4. プログラム外から渡されるデータ（ファイル・DBを含む）を利用する場合、データを利用する前に必ず許可されているデータのみで入力データが構成されていることを確認すること
5. プログラム外へ処理したデータを出力する場合、データを出力する前に、必ず許可されているデータのみで出力データが構成されていることを確認すること
6. プログラムが起動中リソース（CPU、ディスク、メモリ等）が適切に使用されていること。
7. システム管理に関する操作、重要データへのアクセス等重要な操作を行った場合ログが取得できること。
8. テストにて上記要件が満たされているかセキュリティ検査を実施すること。