コンテンツへスキップ

BLOG- セキュリティブログ -

OWASP TOP10

Webオンラインの活用が以前にも増して注目されている中、様々なWebサービスが増えている昨今、同時に Web サイトや Web アプリケーションを狙ったサイバー攻撃も増加し、ニュースになるケースも多くなってきています。
セキュリティに関する重大なリスクを定期的に発表しているものが「OWASP TOP10」と呼ばれるレポートです。
この記事では、Webアプリケーション開発者やセキュリティ担当者ならぜひ知っておきたいOWASP TOP10の概要や最新情報、そして有効な活用方法について解説します。

 

目次

1. OWASP TOP10 とは

2. OWASP TOP10 の内容

3. OWASP TOP10の活用方法

4. まとめ

 

OWASP トップ 10 とは

OWASP(Open Web Application Security Project)は、2001年に設立されたアメリカのオープン・コミュニティで、ソフトウェアのセキュリティ向上を目的としています。非営利団体であるThe OWASP Foundationが主導し、Webアプリケーションのセキュリティに関する研究や脆弱性診断ツールの開発などを行っています。

OWASP TOP10の内容

OWASP が定期的に公開している Web アプリケーションのセキュリティに関する重大なリスクについてのレポートです。 最も重大なセキュリティリスクをランキング形式でトップ 10 まで順位付けし、それぞれの概要やありがちな例、脆弱性を突く2003年から公開されており、最新版は2021年に更新されました。

OWASP TOP10:2021概要

OWASP TOP10:2021では、以下の10のセキュリティリスクがランク付けされています。

1. **A01:2021-アクセス制御不備**
2. **A02:2021-暗号化の失敗**
3. **A03:2021-インジェクション**
4. **A04:2021-安全が確認されない不安な設計**
5. **A05:2021-セキュリティの設定ミス**
6. **A06:2021-脆弱で古くなったコンポーネント**
7. **A07:2021-識別と認証の失敗* *
8. **A08:2021-ソフトウェアとデータの整合性の問題**
9. **A09:2021-セキュリティログとモニタリングの失敗**
10. **A10:2021-サーバーサイド・リクエスト・フォージェリ**

OWASP TOP 10:2017 との変更点

2017年版と比較すると、主な変更点は以下の通りです。

* A01:2017-インジェクションがA01:2021-アクセス制御の不備に変更
* A02:2017-認証の不備がA02:2021-暗号化の失敗に変更
* A03:2017-機微な情報の露出がA03:2021 -インジェクションに変更
* A04:2017-XML外部エンティティの参照(XXE)がA04:2021-安全が確認されない不安な設計に変更* A05:2017-アクセス制御不備が
A05:2021-セキュリティの設定ミスに変更
* A06:2017-大事なセキュリティ設定がA06:2021-脆弱で古くなった要素に変更* A07:2017-クロスサイト・スクリプティング(XSS)がA07:2021-識別と認証の失敗に変更
*
A08 :2017-安全でないデシリアライゼーションがA08:2021-ソフトウェアとデータの整合性の問題に変更* A09:2017-既知の脆弱性のあるコンポーネントの使用がA09:2021-セキュリティログとモニタリングの失敗に
変更
* A10:2017-とりあえずなロギングとモニタリングがA10:2021-サーバーサイド・リクエスト・フォージェリに変更

OWASP TOP10の活用方法

OWASP TOP10 の情報は、Web アプリケーションの設計者やセキュリティ担当者にとって意識向上を目的とした重要な情報源です。最新のアプリケーションの脆弱性やサイバー攻撃の傾向を把握するためには、このレポートを参照します。

具体的な活用方法としては、自社で開発・運用しているWebアプリケーションの脆弱性を把握し、開発方針の見直しやセキュリティ診断を行うことができます。

まとめ

セキュリティ・インシデントを防ぐためには、 OWASP TOP10の情報を基にした対策を実施することが重要です。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です