ステップ 1 | CASA の概要と活用方法

Tier 2 について

Tier 2 CASA は、OWASP Application Security Verification Standard（ASVS）v4.0 に準拠しています。要件は合計 134 個あり、それぞれが独自の承認基準にマッピングされています。ASVS のほとんどは、一連の CWE にも関連付けられているため、要件が満たされているかどうかをより柔軟に判断できます。

アプリケーションに必要なスキャンに応じて、CASA AST のガイダンスに沿って対応してください。

Tier 2 の確認を受けるには、結果に次のことが表示されている必要があります。

• スキャン結果で、CASA の要件にマッピングされた不合格の CWE がない

検出結果を修正するには、ASVS クイック リファレンスの OWASP ガイダンスを参照してください。

要件を満たす 3 つの方法

Tier 2 の検証済み自己診断では、要件は大きく 2 つのカテゴリに分類されます。

1. 機能要件

2. 機能面以外の要件

機能要件は、アプリケーション セキュリティ テスト（AST）スキャンを使用して検証する必要があります。

非機能要件は、既存の CASA 承認済みのセキュリティ認定とデベロッパーの自己証明を組み合わせて検証されます。

CASA への移行を加速する

CASA とアプリに適用される要件の基本を理解したら、CASA アクセラレータ ツールで自動化できる項目の数を確認します。ツールを提供する:

• 申請の種類

• CASA で承認されている既存のセキュリティ フレームワーク（ガイダンスを参照）
• 使用している、または使用を予定している AST ツール（ガイダンスを参照）

アプリのスキャンを準備する

CASA アクセラレータには、AST スキャン ポリシーに読み込むか、既存の AST スキャン結果に表示する必要がある CWE の短いリストが用意されています。 

こちらで CWE とリンクされた CWE のリストをエクスポートして、参照することをおすすめします。