OWASP、Webアプリの重大なリスクのトップ10「OWASP Top Ten 2021」を公開ほぼ4年ぶりにトップ10を更新

「The Open Web Application Security Project」(OWASP)は、Webアプリケーションの重大なセキュリティリスクについてトップ10を選び、解説するドキュメントの最新版「OWASP Top Ten 2021」を公開した。

» 2021年10月14日 16時30分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Webアプリケーションセキュリティなどの改善活動を行う非営利団体「The Open Web Application Security Project」(OWASP)は2021年9月24日(米国時間)、Webアプリケーションの重大なセキュリティリスクのトップ10を選び、解説するドキュメント「OWASP Top Ten」の最新版「OWASP Top Ten 2021」を公開した。

 OWASP Top Tenの更新は、前のバージョンである「OWASP Top Ten 2017」を公開した2017年11月以来3年10カ月ぶり。OWASP Top Ten 2021は英語版がWebで公開されており、ダウンロード可能なPDFとインフォグラフィックスもある。日本語を含む他の言語への翻訳も進んでいる。

 OWASP Top TenはWebアプリケーションセキュリティに関する開発者向けの啓発ドキュメントであり、Webアプリケーションの最も重大なセキュリティリスクに関する幅広いコンセンサスを表している。

 企業と開発者に安全な開発の出発点を提供することを目的に2003年、初めて公開され、「これまでに、コンプライアンスや教育、ベンダーツールのベースラインとして使われる疑似的な標準へと成長してきた」と、OWASPは発表資料に記している。

 OWASP Top Tenを使って、Webアプリケーションのリスクの最小化に着手することをOWASPは企業に勧めており、「このドキュメントを使うことは、組織のソフトウェア開発文化を、より安全なコードを作る文化へと変革するための最も効果的な第一歩になるだろう」と述べている。

OWASP Top Tenはどこが変わったのか

 OWASP Top Ten 2021は、OWASP Top Ten 2017からどこが変わったのだろうか。

OWASP Top Ten 2021(出典:OWASP
OWASP Top Ten 2021 OWASP Top Ten 2017
A01:2021 アクセス制御の不備 A1:2017 インジェクション
A02:2021 暗号化の失敗 A2:2017 認証の不備
A03:2021 インジェクション A3:2017 機微な情報の露出
A04:2021 安全が確認されない不安な設計 A4:2017 XML外部エンティティー参照(XXE)
A05:2021 セキュリティの設定ミス A5:2017 アクセス制御の不備
A06:2021 脆弱で古くなったコンポーネント A6:2017 不適切なセキュリティ設定
A07:2021 識別と認証の失敗 A7:2017 クロスサイトスクリプティング(XSS)
A08:2021 ソフトウェアとデータの整合性の不具合 A8:2017 安全はでないデシリアライゼーション
A09:2021 セキュリティログとモニタリングの失敗 A9:2017 既知の脆弱性のあるコンポーネントの使用
A10:2021 サーバサイドリクエストフォージェリ A10:2017 不十分なロギングとモニタリング
OWASP Top Ten 2017と同2021の推移(出典:OWASP

 OWASPは、Top Ten 2021における順位の変動や、リスクカテゴリーの名称変更、新しいリスクカテゴリーなどについて、次のように説明している。

A01:2021 アクセス制御の不備

 Top Ten 2017(以下、前バージョン)での5位から順位を上げた。94%のアプリケーションで、何らかの形でアクセス制御の不備が確認されている。このリスクカテゴリーに当たる34件のCWE(Common Weakness Enumeration:共通脆弱《ぜいじゃく》性タイプ一覧)は、アプリケーションで他のカテゴリーよりも多発している。

A02:2021 暗号化の失敗

 前バージョンから1つ順位を上げて2位となった。前バージョンでは、このカテゴリーは「機微な情報の露出」と呼ばれていたが、これは根本的な原因というよりも、幅広く見られる症状といえる。ここでは、機密データの漏えいやシステム侵害に多く関連する、暗号技術にまつわる失敗に焦点を当てている。

A03:2021 インジェクション

 前バージョンでの1位から3位に後退した。94%のアプリケーションで、インジェクションに関する何らかの問題が確認されており、このカテゴリーに当たる33件のCWEは、アプリケーションでの発生数が2番目に多い。前バージョンでの「クロスサイトスクリプティング(XSS)」のカテゴリーは、このカテゴリーに含まれている。

A04:2021 安全が確認されない不安な設計

 Top Ten 2021で新設されたカテゴリーであり、設計上の欠陥に関するリスクに焦点を当てている。IT業界が「シフトレフト」(ソフトウェア開発ライフサイクルの早い段階で、セキュリティに関する問題に対処すること)を目指すのであれば、脅威モデリングや、安全な設計パターンと原則、レファレンスアーキテクチャをもっと利用していく必要がある。

A05:2021 セキュリティの設定ミス

 前バージョンでの6位から順位を上げた。アプリケーションの90%に何らかの設定ミスが見られる。高度な設定が可能なソフトウェアへの移行が進む中で、このカテゴリーの順位が上がったことは当然だといえる。前バージョンでの「XML外部エンティティー参照(XXE)」のカテゴリーは、ここに含まれている。

A06:2021 脆弱で古くなったコンポーネント

 前バージョンでは、「既知の脆弱性のあるコンポーネントの使用」というカテゴリー名だった。前バージョンでの9位から順位を上げた。これは、テストやリスク評価に苦労する、よく知られた問題だ。

A07:2021 識別と認証の失敗

 前バージョンでは、「認証の不備」というカテゴリー名で、2位を占めた。Top Ten 2021では、識別の失敗に関連するCWEをより多く含むカテゴリーとなっている。標準化されたフレームワークの利用が進んだことが、このカテゴリーのリスクの軽減につながっているようだ。

A08:2021 ソフトウェアとデータの整合性の不具合

 Top Ten 2021で新設されたカテゴリーであり、整合性を検証せずに、ソフトウェアの更新、重要なデータ、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインに関連する想定を行うことによる問題にフォーカスしている。前バージョンでの「安全ではないデシリアライゼーション」というカテゴリーは、このカテゴリーの一部となった。

A09:2021 セキュリティログとモニタリングの失敗

 前バージョンでは、「不十分なロギングとモニタリング」というカテゴリー名で、10位だった。このカテゴリーは、より多くの種類の失敗を含むように拡張されている。テストが困難なカテゴリーだが、このカテゴリーで失敗が起きると、可視性やインシデントアラート、フォレンジックなどに直接影響を与える可能性がある。

A10:2021 サーバサイドリクエストフォージェリ

 このカテゴリーは、Top Ten 2021で新設された。問題の発生率は比較的低いが、問題が起きた場合のエクスプロイトとインパクトは、平均以上のものとなり得る。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。