お問い合わせ

脆弱性?脆弱性診断?セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決!

セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
mv-image
セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
problem019

019

WebセキュリティにおけるOWASPの役割は何ですか?

目崎 匠

目崎 匠

2024年10月15日

ploblem019_imgOWASPはWebアプリケーション(セキュリティ)に携わる方なら一度は耳にしたことがある名前だと思います。果たしてOWASPとは私たちに何をもたらしているのでしょうか?

Webセキュリティの重要性が増す中、OWASP(Open Web Application Security Project)は、Webアプリケーションのセキュリティ向上に多大な貢献をしています。本記事では、OWASPの基本的な役割を学び、その提供するツールやガイドラインがどのようにしてWebセキュリティを支えているかを理解しましょう。

 

OWASPとは何か?Webセキュリティの要

OWASPは、2001年に設立された非営利団体で、Webアプリケーションのセキュリティを向上させるためのありとあらゆる有益な情報を提供しています。その目的は、セキュリティに関する情報をオープンかつ簡単にアクセスができるような形で提供し、開発者やセキュリティ専門家が安全なアプリケーションを構築できるよう支援することです。

OWASPが提供する主要なものには、セキュリティガイドライン、ツール、サンプル脆弱アプリ、トレーニング資料などがあります。これらの情報は、世界中のセキュリティ従事者のボランティアにより発案、開発、保守され、すべて無償で世界中に公開され活用されています。特に注目すべきは、OWASP Top 10とOWASP ASVS(Application Security Verification Standard)です。

ZAPは注目しなくてよいのか?と思われるかもしれません。ですが、ZAPは2023年8月にOWASPから離れ、「The Software Security Project」の元で有志コミュニティにより活動が継続されています。そしてちょっとしたニュースとして、2024年9月に商用ソースコード診断ツールで有名なCheckmarx社とタッグを組むことが発表されました。引き続き無償での提供となるようですが、今後の動きには注目した方がよさそうです。

またこれまで慣れ親しんだ呼称である「OWASP ZAP」ではなく、単に「ZAP」または「Checkmarx ZAP」と呼ぶのが適切でしょう。手軽なWebアプリケーションスキャンツールとしてOWASPによりZAPが送り出されたことは大きな功績であることは事実です。

OWASP ASVS(Application Security Verification Standard)

 OWASP ASVSは、Webアプリケーションのセキュリティ要件を体系的に定義したフレームワークです。ASVSは、開発者やセキュリティ専門家がアプリケーションのセキュリティを評価・改善する際の一つの基準に用いられることが比較的多いといえます。

ASVSは、セキュリティ要件をレベル1からレベル3までの3段階に分類しています。それぞれがどの程度のセキュリティレベルに該当するかを簡単に記しますので参考にしてください。

レベル1:世の中に公開するWebシステムとして最低限のセキュリティ対策に取り組んでいると言えるレベル
レベル2:Webシステムのセキュリティ対策を包括的に取り組んでいると言えるレベル
レベル3:社会インフラなど高いレベルのセキュリティ対策に取り組んでいると言えるレベル

このフレームワークを使用することで、アプリケーションのセキュリティレベルを段階的に向上させることが可能です。

具体的なASVSの利用方法としては、以下のようなものがあります。

  • セキュリティ要件の定義
    プロジェクト開始時に必要なセキュリティ要件を明確にする。
  • セキュリティテストの実施
    開発中のアプリケーションに対してASVSに基づいたセキュリティテストを実施する。
  • コンプライアンスの確保
    規制や業界標準に準拠するためのセキュリティ基準として利用する。

セキュリティレベルを向上させるための指針ASVSは非常に有効なフレームワークであり、私たちにとってセキュリティ対策のひとつのよりどころになり得ます。留意しなければならないのは、このフレームワークの各項目に合致させることが目的にならないようにすることが大切です。かけるコストと得られる成果から実施する、しないを判断する必要があります。また、全ての項目をカバーできるセキュリティツールは今のところ存在せず、複数のツールと人の介入が必要になるものであることを前提に利用することをおすすめします。

OWASP Top 10 - セキュリティリスクの理解

OWASP Top 10は、Webアプリケーションにおける最も重大なセキュリティリスクをリストアップしたものです。初版は2004年にリリースされ、以降3年から5年の間隔で更新され、最新の脅威動向に対応しています。以下に、2021年版のOWASP Top 10に掲載されている主要なセキュリティリスクを簡単に紹介します。

  1. アクセス制御の不備:
    適切なアクセス制御が実装されていないため、攻撃者が権限のないリソースにアクセスできるリスク。
  2. 暗号化の失敗:
    機密データの漏えいやシステム侵害。
  3. インジェクション:
    以前はSQLインジェクションという項目がありましたが、2021からは単純にインジェクションというカテゴリに整理されました。クロスサイトスクリプティングもここに分類されました。
  4. 安全が確認されない不安な設計:
    2021年版で新設された項目。熟慮されていない設計によるアプリケーション全体に影響を及ぼすリスク。
  5. セキュリティの設定ミス:
    攻撃の糸口の多くの割合を占めるのが設定ミスを突かれたものであることからランクイン。
  6. 脆弱で古くなったコンポーネント:
    以前は既知の脆弱性とされていた項目です。
  7. 識別と認証の失敗:
    以前は認証の不備とされていた項目です。不適切な認証認可のメカニズムにより、攻撃者にシステムを悪用されるリスク。
  8. ソフトウェアとデータの整合性の不具合:
    2021年版で新設された項目。ソフトウェアの更新などでリポジトリやCI/CDのデータを検証せずに利用することで発生するリスク。
  9. セキュリティログとモニタリングの失敗:
    以前は不十分なロギングとモニタリングとされていた項目です。直接アプリケーションセキュリティに関係すると言うよりも運用に関係する項目と言えます。
  10. サーバーサイドリクエストフォージェリ(SSRF):
    2021年版で追加された脆弱性単体による項目。問題が発生した場合、データ漏洩や不正利用という影響度の大きさからランクインしました。

各リスクは、システムに対する具体的な脅威とその防止策を理解するために詳細に説明されています。例えば、インジェクション攻撃に対しては、入力値のバリデーションやプリペアドステートメントの使用が推奨されます。

その他のOWASPリソース

OWASPは、ASVSやTop 10以外にも多数の情報を提供しています。診断やCTF(セキュリティ版旗取り競争)を始めてみたい方向けに「JuiceShop」という脆弱アプリは自由にダウンロードして使うことが可能です。OWASP Mobile Security Testing Guide(MSTG)は、モバイルアプリケーションのセキュリティテストに関する包括的なガイドラインを提供しています。

これらの情報は、デベロッパーやセキュリティ専門家がより安全なアプリケーションを構築するための強力なサポートとなります。

まとめ

OWASPの提供するツールやガイドラインは、Webアプリケーションのセキュリティを向上させるために非常に有用なものといえるでしょう。ASVSやOWASP Top 10を活用することで、セキュリティリスクを効果的に管理し、より安全なWeb環境を構築することができます。今後もOWASPの情報を積極的に活用し、Webセキュリティの強化に努めましょう。

OWASPの詳細については、公式サイトを参照してください。

お問い合わせ