概要
CASA 保証階層は、アプリケーションが CASA 要件を遵守していることの保証レベルに基づいて、アプリケーションのセキュリティを分類する方法です。保証階層が高いほど、アプリケーションが必要な CASA 制御を実装しているという信頼度が高くなります。
すべての階層ですべての要件を満たしている必要があります。各階層間の唯一の違いは、適用される評価方法です。CASA 保証階層は、アプリケーションのセキュリティを客観的に評価する手段を提供します。保証ティアが高いほど、アプリケーションに CASA コントロールが実装されているという信頼度が高くなります。
階層
| レベル | 氏名 | ラボの推定時間 | 説明 |
|
3
|
テスト済みのラボ - ラボで確認済み | 60 | この評価中、認定ラボはすべての CASA 要件をテストして検証します。アプリケーション、アプリケーション デプロイ インフラストラクチャ、ユーザーデータ ストレージの場所をすべてテストし、CASA の要件(該当する場合)をすべて満たす包括的な評価を行います。 |
|
2
|
テスト済みのラボ - ラボで確認済み | 4 | Tier 2 には、ラボでテスト、検証された保証レベルがあります。このレベルに基づいて、デベロッパーは承認済みのラボのいずれかに連絡し、Tier 2 の評価を完了できます。以下の評価プロセスをご覧ください。 |
| デベロッパー テスト済み - ラボで確認済み | 1 | この評価中に、アプリケーション デベロッパーは、CASA の推奨スキャンツールを使用してアプリケーションをスキャンし、検証のために ADA にスキャン結果を提供します。 | |
|
1
|
デベロッパーによるテスト - デベロッパーによる確認 | 0 | 自己評価階層は検証されないため、保証レベルではありません。この階層は、デベロッパーが CASA 評価に対するアプリケーションの準備状況を理解できるようにするために使用されます |
保証
| レベル | Application(アプリケーション) | デプロイ インフラストラクチャ | データ ストレージ | 検証 |
| Tier 2(デベロッパー テスト済み - ラボで確認済み) | デベロッパーによるテスト | デベロッパーの証明書 | デベロッパーの証明書 | 承認済みラボ確認済み |
| Tier 2(ラボテスト - ラボ検証済み) | 認定ラボテスト済み | デベロッパーの証明書 | デベロッパーの証明書 | 承認済みラボ確認済み |
| Tier 3(ラボテスト - ラボ検証済み) | 認定ラボテスト済み | 認定ラボテスト済み | 認定ラボテスト済み | 承認済みラボ確認済み |
階層の計算
階層を算出して決定するのはアプリ デベロッパーではなく、フレームワーク ユーザー(Google など)です。CASA は、アプリケーションに必要な保証階層を計算するために次のパラメータをおすすめします。
-
アプリケーションがアクセスするデータの機密性。各データ型には、階層の計算に影響を与えるリスクの重みが与えられる場合があります。
-
アクセスされたデータの種類あたりのユーザー数。
-
企業のリスク許容度。
-
外部および内部のリスク指標。
再検証の要件
すべての申請は毎年再検証する必要があります。アプリケーション階層は上位階層に昇格できます。
