お役立ち資料
脆弱性?脆弱性診断?セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決!
019
目崎 匠
2024年10月15日
OWASPはWebアプリケーション(セキュリティ)に携わる方なら一度は耳にしたことがある名前だと思います。果たしてOWASPとは私たちに何をもたらしているのでしょうか?
Webセキュリティの重要性が増す中、OWASP(Open Web Application Security Project)は、Webアプリケーションのセキュリティ向上に多大な貢献をしています。本記事では、OWASPの基本的な役割を学び、その提供するツールやガイドラインがどのようにしてWebセキュリティを支えているかを理解しましょう。
OWASPは、2001年に設立された非営利団体で、Webアプリケーションのセキュリティを向上させるためのありとあらゆる有益な情報を提供しています。その目的は、セキュリティに関する情報をオープンかつ簡単にアクセスができるような形で提供し、開発者やセキュリティ専門家が安全なアプリケーションを構築できるよう支援することです。
OWASPが提供する主要なものには、セキュリティガイドライン、ツール、サンプル脆弱アプリ、トレーニング資料などがあります。これらの情報は、世界中のセキュリティ従事者のボランティアにより発案、開発、保守され、すべて無償で世界中に公開され活用されています。特に注目すべきは、OWASP Top 10とOWASP ASVS(Application Security Verification Standard)です。
ZAPは注目しなくてよいのか?と思われるかもしれません。ですが、ZAPは2023年8月にOWASPから離れ、「The Software Security Project」の元で有志コミュニティにより活動が継続されています。そしてちょっとしたニュースとして、2024年9月に商用ソースコード診断ツールで有名なCheckmarx社とタッグを組むことが発表されました。引き続き無償での提供となるようですが、今後の動きには注目した方がよさそうです。
またこれまで慣れ親しんだ呼称である「OWASP ZAP」ではなく、単に「ZAP」または「Checkmarx ZAP」と呼ぶのが適切でしょう。手軽なWebアプリケーションスキャンツールとしてOWASPによりZAPが送り出されたことは大きな功績であることは事実です。
OWASP ASVSは、Webアプリケーションのセキュリティ要件を体系的に定義したフレームワークです。ASVSは、開発者やセキュリティ専門家がアプリケーションのセキュリティを評価・改善する際の一つの基準に用いられることが比較的多いといえます。
ASVSは、セキュリティ要件をレベル1からレベル3までの3段階に分類しています。それぞれがどの程度のセキュリティレベルに該当するかを簡単に記しますので参考にしてください。
レベル1:世の中に公開するWebシステムとして最低限のセキュリティ対策に取り組んでいると言えるレベルこのフレームワークを使用することで、アプリケーションのセキュリティレベルを段階的に向上させることが可能です。
具体的なASVSの利用方法としては、以下のようなものがあります。
セキュリティレベルを向上させるための指針ASVSは非常に有効なフレームワークであり、私たちにとってセキュリティ対策のひとつのよりどころになり得ます。留意しなければならないのは、このフレームワークの各項目に合致させることが目的にならないようにすることが大切です。かけるコストと得られる成果から実施する、しないを判断する必要があります。また、全ての項目をカバーできるセキュリティツールは今のところ存在せず、複数のツールと人の介入が必要になるものであることを前提に利用することをおすすめします。
OWASP Top 10は、Webアプリケーションにおける最も重大なセキュリティリスクをリストアップしたものです。初版は2004年にリリースされ、以降3年から5年の間隔で更新され、最新の脅威動向に対応しています。以下に、2021年版のOWASP Top 10に掲載されている主要なセキュリティリスクを簡単に紹介します。
各リスクは、システムに対する具体的な脅威とその防止策を理解するために詳細に説明されています。例えば、インジェクション攻撃に対しては、入力値のバリデーションやプリペアドステートメントの使用が推奨されます。
OWASPは、ASVSやTop 10以外にも多数の情報を提供しています。診断やCTF(セキュリティ版旗取り競争)を始めてみたい方向けに「JuiceShop」という脆弱アプリは自由にダウンロードして使うことが可能です。OWASP Mobile Security Testing Guide(MSTG)は、モバイルアプリケーションのセキュリティテストに関する包括的なガイドラインを提供しています。
これらの情報は、デベロッパーやセキュリティ専門家がより安全なアプリケーションを構築するための強力なサポートとなります。
OWASPの提供するツールやガイドラインは、Webアプリケーションのセキュリティを向上させるために非常に有用なものといえるでしょう。ASVSやOWASP Top 10を活用することで、セキュリティリスクを効果的に管理し、より安全なWeb環境を構築することができます。今後もOWASPの情報を積極的に活用し、Webセキュリティの強化に努めましょう。
OWASPの詳細については、公式サイトを参照してください。