セクション: 情報資産の保護
Explanation:
コードインジェクションとは、コンピュータプログラムやシステムにコードを導入する技術であり、
システムが入力に関して行う、強制も確認もされていない仮定。

説明
変更管理は、情報システムまたはそのコンポーネントに対する変更を管理および文書化するプロセスです。変更管理の目的は、変更が管理された一貫した方法で承認、テスト、承認、実装、およびレビューされるようにすることです。変更管理は、情報システムのセキュリティ、信頼性、および品質を確保するために不可欠な部分です。
変更管理の重要な要素の 1 つは、品質保証 (QA) によるテストと承認です。QA は、変更が要件と仕様を満たし、標準とポリシーに準拠し、エラーや脆弱性が生じないことを確認する機能です。QA のテストと承認により、変更が目的に適合し、期待どおりに機能し、システムのセキュリティやパフォーマンスが損なわれないことが保証されます。
社内の会計ソフトウェア システムにカスタム コードを展開するために最近アジャイル モデルに移行した組織でも、QA テストや承認などの変更管理手順に従う必要があります。
アジャイル開発手法では柔軟性、スピード、コラボレーションを重視しますが、品質とセキュリティのチェックの必要性がなくなるわけではありません。実際、アジャイル手法では、開発サイクル全体を通じて頻繁かつ反復的なテストとフィードバックを可能にすることで、変更管理を容易にすることができます。
ただし、変更管理に QA によるテストと承認が含まれていない場合、組織にとって重大なセキュリティ上の懸念が生じます。QA によるテストと承認がないと、変更は運用環境に展開される前に適切に検証、確認、または評価されない可能性があります。その結果、会計ソフトウェア システムの機能、可用性、整合性、または機密性に影響を与えるバグ、欠陥、または脆弱性が生じる可能性があります。たとえば、変更によってデータの破損、パフォーマンスの低下、不正アクセス、またはデータ漏洩が発生する可能性があります。これらのリスクは、組織の財務運営、コンプライアンス義務、評判、または法的責任に深刻な影響を及ぼす可能性があります。
したがって、アジャイル モデルで本番環境のコード展開に適用される手順を確認する際に対処する必要がある最も重要なセキュリティ上の懸念事項は、QA によるテストと承認を含まない変更管理です。
参考文献:
変更管理 - ISACA
品質保証 - ISACA
アジャイル開発 - ISACA
知っておくべきアジャイルソフトウェア開発のセキュリティに関する 10 の懸念事項

監査責任の強化は、統制自己評価 (CSA) プログラムの目的です。