「The Open Web Application Security Project」(OWASP)は、Webアプリケーションの重大なセキュリティリスクについてトップ10を選び、解説するドキュメントの最新版「OWASP Top Ten 2021」を公開した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Webアプリケーションセキュリティなどの改善活動を行う非営利団体「The Open Web Application Security Project」(OWASP)は2021年9月24日(米国時間)、Webアプリケーションの重大なセキュリティリスクのトップ10を選び、解説するドキュメント「OWASP Top Ten」の最新版「OWASP Top Ten 2021」を公開した。
OWASP Top Tenの更新は、前のバージョンである「OWASP Top Ten 2017」を公開した2017年11月以来3年10カ月ぶり。OWASP Top Ten 2021は英語版がWebで公開されており、ダウンロード可能なPDFとインフォグラフィックスもある。日本語を含む他の言語への翻訳も進んでいる。
OWASP Top TenはWebアプリケーションセキュリティに関する開発者向けの啓発ドキュメントであり、Webアプリケーションの最も重大なセキュリティリスクに関する幅広いコンセンサスを表している。
企業と開発者に安全な開発の出発点を提供することを目的に2003年、初めて公開され、「これまでに、コンプライアンスや教育、ベンダーツールのベースラインとして使われる疑似的な標準へと成長してきた」と、OWASPは発表資料に記している。
OWASP Top Tenを使って、Webアプリケーションのリスクの最小化に着手することをOWASPは企業に勧めており、「このドキュメントを使うことは、組織のソフトウェア開発文化を、より安全なコードを作る文化へと変革するための最も効果的な第一歩になるだろう」と述べている。
OWASP Top Ten 2021は、OWASP Top Ten 2017からどこが変わったのだろうか。
OWASP Top Ten | 2021 | OWASP Top Ten | 2017 |
---|---|---|---|
A01:2021 | アクセス制御の不備 | A1:2017 | インジェクション |
A02:2021 | 暗号化の失敗 | A2:2017 | 認証の不備 |
A03:2021 | インジェクション | A3:2017 | 機微な情報の露出 |
A04:2021 | 安全が確認されない不安な設計 | A4:2017 | XML外部エンティティー参照(XXE) |
A05:2021 | セキュリティの設定ミス | A5:2017 | アクセス制御の不備 |
A06:2021 | 脆弱で古くなったコンポーネント | A6:2017 | 不適切なセキュリティ設定 |
A07:2021 | 識別と認証の失敗 | A7:2017 | クロスサイトスクリプティング(XSS) |
A08:2021 | ソフトウェアとデータの整合性の不具合 | A8:2017 | 安全はでないデシリアライゼーション |
A09:2021 | セキュリティログとモニタリングの失敗 | A9:2017 | 既知の脆弱性のあるコンポーネントの使用 |
A10:2021 | サーバサイドリクエストフォージェリ | A10:2017 | 不十分なロギングとモニタリング |
OWASPは、Top Ten 2021における順位の変動や、リスクカテゴリーの名称変更、新しいリスクカテゴリーなどについて、次のように説明している。
A01:2021 アクセス制御の不備
Top Ten 2017(以下、前バージョン)での5位から順位を上げた。94%のアプリケーションで、何らかの形でアクセス制御の不備が確認されている。このリスクカテゴリーに当たる34件のCWE(Common Weakness Enumeration:共通脆弱《ぜいじゃく》性タイプ一覧)は、アプリケーションで他のカテゴリーよりも多発している。
A02:2021 暗号化の失敗
前バージョンから1つ順位を上げて2位となった。前バージョンでは、このカテゴリーは「機微な情報の露出」と呼ばれていたが、これは根本的な原因というよりも、幅広く見られる症状といえる。ここでは、機密データの漏えいやシステム侵害に多く関連する、暗号技術にまつわる失敗に焦点を当てている。
A03:2021 インジェクション
前バージョンでの1位から3位に後退した。94%のアプリケーションで、インジェクションに関する何らかの問題が確認されており、このカテゴリーに当たる33件のCWEは、アプリケーションでの発生数が2番目に多い。前バージョンでの「クロスサイトスクリプティング(XSS)」のカテゴリーは、このカテゴリーに含まれている。
A04:2021 安全が確認されない不安な設計
Top Ten 2021で新設されたカテゴリーであり、設計上の欠陥に関するリスクに焦点を当てている。IT業界が「シフトレフト」(ソフトウェア開発ライフサイクルの早い段階で、セキュリティに関する問題に対処すること)を目指すのであれば、脅威モデリングや、安全な設計パターンと原則、レファレンスアーキテクチャをもっと利用していく必要がある。
A05:2021 セキュリティの設定ミス
前バージョンでの6位から順位を上げた。アプリケーションの90%に何らかの設定ミスが見られる。高度な設定が可能なソフトウェアへの移行が進む中で、このカテゴリーの順位が上がったことは当然だといえる。前バージョンでの「XML外部エンティティー参照(XXE)」のカテゴリーは、ここに含まれている。
A06:2021 脆弱で古くなったコンポーネント
前バージョンでは、「既知の脆弱性のあるコンポーネントの使用」というカテゴリー名だった。前バージョンでの9位から順位を上げた。これは、テストやリスク評価に苦労する、よく知られた問題だ。
A07:2021 識別と認証の失敗
前バージョンでは、「認証の不備」というカテゴリー名で、2位を占めた。Top Ten 2021では、識別の失敗に関連するCWEをより多く含むカテゴリーとなっている。標準化されたフレームワークの利用が進んだことが、このカテゴリーのリスクの軽減につながっているようだ。
A08:2021 ソフトウェアとデータの整合性の不具合
Top Ten 2021で新設されたカテゴリーであり、整合性を検証せずに、ソフトウェアの更新、重要なデータ、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインに関連する想定を行うことによる問題にフォーカスしている。前バージョンでの「安全ではないデシリアライゼーション」というカテゴリーは、このカテゴリーの一部となった。
A09:2021 セキュリティログとモニタリングの失敗
前バージョンでは、「不十分なロギングとモニタリング」というカテゴリー名で、10位だった。このカテゴリーは、より多くの種類の失敗を含むように拡張されている。テストが困難なカテゴリーだが、このカテゴリーで失敗が起きると、可視性やインシデントアラート、フォレンジックなどに直接影響を与える可能性がある。
A10:2021 サーバサイドリクエストフォージェリ
このカテゴリーは、Top Ten 2021で新設された。問題の発生率は比較的低いが、問題が起きた場合のエクスプロイトとインパクトは、平均以上のものとなり得る。
Copyright © ITmedia, Inc. All Rights Reserved.