CASA Tier 2（クラウド アプリケーション セキュリティ評価）は、開発者が自身のアプリケーションを柔軟にスキャンし、その結果を他の証拠とともに認定アセッサーに提供できるプログラムです。このプロセスにより、アセッサーがアプリケーションのコードやインフラストラクチャに直接アクセスすることなく、検証を達成し、検証書（Letter of Validation, LOV）を取得することが可能になります。

CASA Tier 2の旅

CASA Tier 2検証を達成するための旅には、以下のステップが含まれます：

CASAを知り、加速する：

• 通知： パートナー企業（例：Google）が、あなたのアプリケーションがセキュリティ評価を受ける必要があると特定したときに、Tier 2評価の対象であることを示す通知がメールで送信されます。
• 準備： 必要な認証を集め、CASAの要件を理解します。アプリのスキャンに適したツールを選び、評価の準備を行います。

アプリをスキャンする：

• アプリの種類に基づいて必要なスキャンを実行するための適切なツールを選択します。
• CASAの要件に対応する脆弱性（CWE：共通弱点列挙）を修正するために必要なコードスキャンを完了します。
• 既存の認証がある場合、それを使用して審査プロセスを迅速化します。

CASAを完了する：

• スキャンが完了したら、指定されたポータルにスキャン結果をアップロードします。
• CASAの質問票に回答し、アプリケーションに関する詳細な情報を提供します。
• 必要に応じてCASAの専門家とのQ&Aセッションに参加し、ポイントを明確にしたり、追加情報を提供したりします。
• レビューから生じた所見を修正します。

Tier 2の検証を取得する：

• すべてのステップが完了し、アセッサーが提供された証拠に満足したら、検証書（LOV）を取得します。この書類は、アプリケーションがCASA Tier 2検証のための必要な要件を満たしたことを確認します。

CASA Tier 2提出の要件

CASA Tier 2プロセスを成功裏に完了するには、以下が必要です：

• CASA Tier 2通知メール： アプリケーションがTier 2評価の対象であることを示す初期通知。
• 業界認証（あれば）： CASAプロセスを迅速化するための関連する認証。
• アプリケーション セキュリティ テスト（AST）設定ファイル： 選択したスキャンツールの設定ファイル。
• ASTスキャン結果（プレーンテキスト形式 .txt）： 読みやすい形式でのアプリケーションスキャンの出力。

評価の最終段階

すべての必要な資料を提出し、追加の質問や修正ステップに対応した後、検証書（LOV）を取得します。この書類により、必要なセキュリティポリシーへのコンプライアンスを示しながら、アプリケーションの検証プロセスを継続することができます。

CASA Tier 2の利点

• 柔軟性： 好みのツールや方法を使用してスキャンを実施できます。
• 効率性： 既存の認証とスキャンを利用することで、評価プロセスを効率化します。
• プライバシー： アセッサーはアプリケーションのコードやインフラストラクチャに直接アクセスする必要がないため、プライバシーと機密性が保たれます。

結論

CASA Tier 2の評価は、アプリケーションセキュリティのコンプライアンスを確認するための構造化された、柔軟かつ効率的な方法を提供し、開発者が評価プロセスをコントロールしながらセキュリティ標準を満たすのに役立つ重要なツールです。

今すぐCASA Tier 2を始めましょう！エルブスコアと共に

エルブスコアと一緒に、あなたのアプリケーションを安全に保ち、CASA Tier 2認証を取得する準備を始めましょう。要件を理解し、スキャンツールを選択し、セキュリティとコンプライアンスを強化する旅に出発しましょう。