Edgio Blog

OWASP top10とは?ランキングの内容と活用法について解説【2023年版】

インターネット技術の発達により、私たちの身の回りにはさまざまなWebアプリケーションが登場してきました。一方で、これらをターゲットにしたサイバー攻撃も多様化しています。この記事ではWebセキュリティに関する重大なリスクをまとめた「OWASP top10」について解説します。

OWASP top10の概要

OWASP top10とは、OWASP(Open Web Application Security Project:オワスプ)という非営利団体が発表しているWebセキュリティレポートです。OWASP top10は2003年から定期的に発表されていて、現在の最新版は2021年版(OWASP top10:2021)です。

OWASP top10は、多くの企業やWeb開発者にとってセキュリティ対策の指針です。またIPA(独立行政法人 情報処理推進機構)やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)といった団体も、OWASP top10をガイドラインとして取り入れています。

 

10項目のセキュリティリスク

Webアプリケーションが直面するリスクはさまざまです。またWebアプリケーションが常に進歩しているのと同様、リスクの内容や危険度も変化しています。ここではOWASP top10:2021のランキングを順番に見ていきましょう。

A01:2021-アクセス制御の不備

最も危険とされたのが「アクセス制御の不備」です。アクセス制御とはユーザーごとの権限に応じてデータの閲覧や変更等を許可する仕組みですが、多くのWebアプリケーションでは、一部のユーザーに本来の権限以上の権限を与えるといった不備が見られます。

A02:2021-暗号化の失敗

「暗号化の失敗」は、本来は隠しておくべき重要なデータ(たとえばパスワード、クレジットカードの番号、各種個人情報など)が第三者に閲覧できる状態を指します。これらは暗号化技術の不適切な使用や、暗号化の欠如(そもそも暗号化されていない)といった理由により発生します。

A03:2021-インジェクション

「インジェクション」とは、Webアプリケーションのフォームなどに攻撃用のコマンドやSQLを入力して実行することです。Webアプリケーションを運用する企業は、この攻撃によりデータを不正に閲覧されたり、変更や破壊といった被害を受けるおそれがあります。

A04:2021-安全が確認されない不安な設計

「安全が確認されない不安な設計」とは、Webアプリケーションのアーキテクチャや設計に問題があることです。設計が安全でないシステムは、コーディングなどの実装を完璧にしてもリスクを排除できません。

A05:2021-セキュリティの設定ミス

Webアプリケーションの実行環境で不適切なセキュリティ設定が行われているケースが「セキュリティの設定ミス」です。たとえばよくある設定ミスとしては、パーミッションが適切に設定されていなかったり、必要のない機能が有効化されている、などの例が挙げられます。

A06:2021-脆弱で古くなったコンポーネント

「脆弱で古くなったコンポーネント」というのは、Webアプリケーションに使用されているプログラミング言語などのソフトウェアや、サーバーなどのハードウェアが適切にアップデートされていないことです。これらのコンポーネントはサイバー攻撃の標的となりやすいため非常に危険です。

A07:2021-識別と認証の失敗

「識別と認証の失敗」は、Webアプリケーションの認証に不備があることです。たとえば推測しやすいデフォルトのパスワードや強度の低いパスワードが設定されている、パスワードが漏洩しているなどの理由で、権限を持たない第三者がシステムに侵入できてしまう状態がこれに当たります。

A08:2021-ソフトウェアとデータの整合性の不具合

「ソフトウェアとデータの整合性の不具合」とは、信頼されていないソースに由来するプラグイン、ライブラリ、モジュールなどを未検証のままWebアプリケーションに使用することです。こうしたケースでは、悪意のあるプラグインなど攻撃者によってインストールされてしまう危険があります。

A09:2021-セキュリティログとモニタリングの失敗

Webシステムがきちんとモニタリングがされていないこと、ログをきちんと保管していないことを「セキュリティログとモニタリングの失敗」といいます。このようなWebシステムでは攻撃の早期発見が難しいため、被害が拡大しやすくなります。

A10:2021-サーバーサイドリクエストフォージェリ(SSRF)

「サーバーサイドリクエストフォージェリ(SSRF) 」とは、Webアプリケーションからリモートのリソースを取得する際に、ユーザーが提供するURLを未検証で使用することにより発生するリスクです。ファイヤーウォールなどで保護されているシステムでも、SSRFによって悪意のあるリクエストが発行される可能性があります。

 

OWASP top10の活用方法

OWASP top10は、最新のWebセキュリティを構築するための指針です。企業のセキュリティ部門はこのランキングからサイバー攻撃のトレンドや最近のWebアプリケーションが抱える脆弱性を理解し、自社のセキュリティ対策に反映させる必要があります。

なおOWASP top10に基づいたセキュリティ診断を行える人材が社内にいない場合は、ぜひ外部のサイバーセキュリティ会社を活用してください。

 

まとめ

OWASP top10は、インターネットを活用する企業すべてにとって重要な指針となります。自社のビジネスを深刻なリスクから保護するため、最新版のOWASP top10に基づいたセキュリティ対策を心がけるようにしましょう。