開発者向けセキュリティ関連コンテンツ

開発者が参照すべきコンテンツ

経済産業省では、製品・システムの開発やシステム構築に携わる開発者が参照すべきコンテンツを公開しています。

基準・ガイドライン

  • ソフトウェア等脆弱性関連情報取扱基準
  • 情報セキュリティ早期警戒パートナーシップガイドライン
  • セキュリティ担当者のための脆弱性対応ガイド
  • 組込みソフトウェアを用いた機器におけるセキュリティ
  • パッチおよび脆弱性管理プログラムの策定(SP 800-40 ver.2)
  • 公共ITにおけるアウトソーシングに関するガイドライン
  • 情報システムに係る政府調達へのSLA導入ガイドライン
  • SaaS向けSLAガイドライン
  • 連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項(FIPS 200)
  • 連邦情報システムのためのセキュリティ計画作成ガイド(SP 800-18 rev.1)
  • リスクアセスメントの実施の手引き(SP 800-30 rev.1)
  • ITセキュリティのための基本テクニカルモデル(SP 800-33)
  • 連邦政府情報システムにおける推奨セキュリティ管理策(SP 800-53 rev.2)
  • 連邦政府情報システムにおける推奨セキュリティ管理策 低位影響レベルのベースライン(SP 800-53 rev.2 Annex 1)
  • 連邦政府情報システムにおける推奨セキュリティ管理策 中位影響レベルのベースライン(SP 800-53 rev.2 Annex 2)
  • 連邦政府情報システムにおける推奨セキュリティ管理策 高位影響レベルのベースライン(SP 800-53 rev.2 Annex 3)
  • 生体認証導入・運用のためのガイドライン
  • 連邦政府機関向けの電子認証にかかわるガイダンス(OMB M-04-04)
  • 連邦職員および委託業者のアイデンティティの検証(FIPS 201-1)
  • 電子的認証に関するガイドライン(SP 800-63)
  • 個人識別情報検証のインタフェース(SP 800-73 rev.1)
  • 個人識別情報の検証における生体認証データ仕様(SP 800-76-1)
  • 電子政府における調達のために参照すべき暗号のリスト
  • 電子政府推奨暗号の利用方法に関するガイドブック
  • 高度サイバー攻撃への対処におけるログの活用と分析方法
  • マルウェアによるインシデントの防止と対応のためのガイド(SP 800-83)
  • コンピュータウイルス対策基準
  • DNSキャッシュポイズニング対策
  • 電子メールのセキュリティに関するガイドライン(SP 800-45 rev.2)
  • セキュアなドメインネームシステム(DNS)の導入ガイド(SP 800-81)
  • 侵入検知および侵入防止システム(IDPS)に関するガイド(SP 800-94)
  • SSL/TLS暗号設定ガイドライン
  • SSHサーバセキュリティ設定ガイド
  • セキュアプログラミング講座 Webアプリケーション編
  • セキュアプログラミング講座 C/C++言語編
  • CERT C セキュアコーディングスタンダード
  • Java セキュアコーディングスタンダード CERT/Oracle版
  • Java セキュアコーディング 並行処理編
  • ウェブ健康診断仕様
  • ファジング活用の手引き
  • 開発者のためのセキュア解説書(脆弱性評価編)
  • ネットワークセキュリティテストにおけるガイドライン(SP 800-42)
  • 情報セキュリティパフォーマンス測定ガイド(SP 800-55 rev.1)
  • 高度標的型攻撃対策に向けたシステム設計ガイド
  • Androidアプリのセキュア設計・セキュアコーディングガイド
  • MDM導入・運用検討ガイド
  • JEB Plugin開発チュートリアル
  • IoTセキュリティガイドライン
  • 安全なIoTシステムのためのセキュリティに関する一般的枠組
  • IoT開発におけるセキュリティ設計の手引き
  • IoTにおけるID/アクセス管理要点ガイダンス
  • コンシューマ向けIoTセキュリティガイド
  • CCDS製品分野別セキュリティガイドライン 車載器編
  • CCDS製品分野別セキュリティガイドライン IoT-GW編
  • CCDS製品分野別セキュリティガイドライン 金融端末(ATM)編
  • CCDS製品分野別セキュリティガイドライン オープンPOS編
  • PCI DSS
  • 医療情報を受託管理する情報処理事業者における安全管理ガイドライン
  • グッド・プラクティス・ガイド パッチ管理
  • 制御システムのサイバーセキュリティ:多層防御戦略
  • SCADAおよびプロセス制御ネットワークにおけるファイアウォールの利用についてのNISCCグッド・プラクティス・ガイド
  • 産業用制御システム(ICS)セキュリティガイドSCADA、DCS、PLC、その他の制御システムの設定(SP 800-82 Rev.2)
  • 安全なウェブサイトの作り方
  • 安全なSQLの呼び出し方
  • Webシステム/Webアプリケーションセキュリティ要件書
  • 地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)
  • リスト型アカウントハッキングによる不正ログインへの対応方策について
  • ウェブサイト構築事業者のための脆弱性対応ガイド
  • クロスサイトリクエストフォージェリ(CSRF)とその対策
  • データベースセキュリティガイドライン
  • データベース暗号化ガイドライン
  • 統合ログ管理サービスガイドライン
  • 情報システム開発ライフサイクルにおけるセキュリティの考慮事項(SP 800-64 rev.2)
  • 開発者のためのセキュリティ解説書(ガイダンス編)
  • 開発者のためのセキュリティ解説書(セキュリティアーキテクチャ編)
  • 自動車の情報セキュリティへの取組みガイド
  • データセンター セキュリティ ガイドブック

レポート

  • JSOC INSIGHT vol.6
  • JSOC INSIGHT vol.7
  • JSOC INSIGHT vol.8
  • JSOC INSIGHT vol.9
  • JSOC INSIGHT vol.10
  • JSOC INSIGHT vol.11
  • JSOC INSIGHT vol.12
  • IPAテクニカルウォッチ 脆弱性対策の効果的な進め方(実践編)
  • IPAテクニカルウォッチ サーバソフトウェアが最新版に更新されにくい現状および対策
  • デジタル複合機(MFP)のセキュリティに関する調査報告書
  • IPAテクニカルウォッチ 脆弱性を悪用する攻撃への効果的な対策についてのレポート
  • IPAテクニカルウォッチ 脆弱性検査と脆弱性対策に関するレポート
  • IPAテクニカルウォッチ 『クライアントソフトウェアの脆弱性対策』に関するレポート
  • IPAテクニカルウォッチ 増加するインターネット接続機器の不適切な情報公開とその対策
  • IPAテクニカルウォッチ 『暗号をめぐる最近の話題』
  • IPAテクニカルウォッチ 攻撃者に狙われる設計・運用上の弱点についてのレポート
  • 制御システム用ソフトウエアの脆弱性対策に有効な CERT C コーディングルールの調査
  • Oracle Java 標準ライブラリ AtomicReferenceArray クラスにおけるデシリアライズに関する脆弱性
  • Apache Axis2におけるXML署名検証不備(CVE-2012-4418)
  • Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF)保護メカニズム回避の脆弱性(CVE-2012-4431)
  • Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性(CVE-2009-4139)
  • Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備(CVE-2012-5783)
  • Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
  • JBoss Application Server におけるディレクトリトラバーサルの脆弱性 (CVE-2006-5750)
  • MySQL Connector/J における SQL インジェクションの脆弱性 (JVN#59748723)
  • Blojsom におけるクロスサイトスクリプティングの脆弱性 (CVE-2006-4829)
  • Apache Struts2 における任意の Java メソッド実行の脆弱性 (CVE-2012-0838)
  • Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性 (CVE-2012-2138)
  • IPAテクニカルウォッチ ウェブサイトにおける脆弱性検査手法の紹介(ソースコード検査編)
  • IPAテクニカルウォッチ ウェブサイトにおける脆弱性検査手法の紹介
  • IPAテクニカルウォッチ 製品の品質を確保する「セキュリティテスト」に関するレポート
  • IPAテクニカルウォッチ 『ソースコードセキュリティ検査』
  • Cyber GRID View vol.1
  • Cyber GRID View vol.2
  • 「Apache Cordova」を使ったハイブリッドアプリケーションの脆弱性に関する調査
  • 制御システムセキュリティガイドライン、標準、及び認証への取り組みに関する分析
  • 「制御系プロトコルに関する調査研究」報告書
  • 国内の制御システムにおける汎用通信プロトコルの利用状況およびセキュリティへの取組み状況に関する調査
  • IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート
  • IPAテクニカルウォッチ ウェブサイト改ざんの脅威と対策
  • IPAテクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート
  • IPAテクニカルウォッチ 2012年の不正アクセス届出から読み解く、ウェブ改ざんの被害の事例、傾向と対策
  • IPAテクニカルウォッチ CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント
  • HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
  • IPAテクニカルウォッチ 『自動車の情報セキュリティ』

ツール

  • MyJVNバージョンチェッカ
  • CVSS Calculator
  • Enhanced Mitigation Experience Toolkit (EMET)
  • Update Compatibility Evaluator & Application Compatibility Toolkit
  • Windows Server Update Services
  • セキュリティ要件確認支援ツール
  • Microsoft Security Essentials
  • 悪意のあるソフトウェアの削除ツール
  • URLScan
  • Microsoft Baseline Security Analyzer
  • iFuzzMaker
  • iCodeChecker
  • AnCoLe
  • AppGoat ウェブアプリケーション版
  • AppGoat サーバ・デスクトップアプリケーション版

詳細はこちらをご覧ください。
開発者向けセキュリティ関連コンテンツ(経済産業省)

ライセンス情報

本記事は経済産業省から発表された開発者向けセキュリティ関連コンテンツ(経済産業省)の資料をもとにサクシードが執筆しました。記事の公表に関しましては「経済産業省ホームページ利用規約」に従っております。

記事の投稿日
記事の投稿日は実際の日付とは異なる場合があります。

関連記事

トップページに戻る

ページ上部へ戻る