(この記事は、開発元Parasoft社 Blog 「Supporting the new 2017 Update to the OWASP Top 10」2017年11月20日の翻訳記事です。)
OWASP Top 10 – 2017年版アップデート
今日、 OWASPはOWASP Top 10 – 2017の最新バージョンをリリースしました。このアプリケーションセキュリティリストは、現在、最も重要なセキュリティ標準の1つになっています。この2017年版のリストをサポートするParasoftツール用の静的解析コンフィギュレーションが、すでにParasoftフォーラムからダウンロード可能です。Parasoftは、このセキュリティ標準がユーザーにとって重要であることを認識しているため、今日、たった今、すぐに始められるよう努力しました!
2017 OWASPアップデートの詳細については以下をご覧ください。
OWASP Top 10の概要
Open Web Application Security Project(OWASP)は、長年にわたってアプリケーションセキュリティに関するすばらしい情報やトレーニングを提供し続けています。また、数年に1度、Web開発者が直面している重要なセキュリティ問題を明らかにするため、有名なOWASP Top 10リストをまとめています。現在では、この標準は、Webアプリケーションのセキュリティに取り組み始める企業にとって、おそらく最も一般的な出発点になっています。
それも当然と言えるでしょう- OWASP Top 10は、さまざまなタイプの情報に基づいて、新しいセキュリティリスクを反映するように更新されています。主な情報源はアプリケーションセキュリティ関連企業からの情報と業界調査であり、これによって、現実世界でまさに今、組織を悩ませている問題に関する情報が得られます。新しいTop 10項目のいくつかは、重要な問題に基づいて、コミュニティからの意見より採用されました。
何が変わったのか?
では、2017年版では何が変わったのでしょうか?新しいOWASP Top 10 ドキュメントには次のように書かれています。
「私たちはOWASP Top 10を完全にリファクタリングしました。方法論を改訂し、新しいデータ収集プロセスを利用し、コミュニティと協力し、リスクを再編成し、各リスクを一から書き直し、現在一般的に利用されているフレームワークと言語への言及を追加しました。」
新規項目:
- A4:2017 – XL 外部エンティティ(XXE) -攻撃者が脆弱なXMLプロセッサを悪用できる
- A8:2017 – 安全でないデシリアライズ – 影響を受けるプラットフォームでのリモートコード実行または機密オブジェクトの操作を可能にする
- A10:2017 – 不適切なログと監視 – 悪意のある行為や侵害を防止または大幅に遅らせることがのできる手段 – 検出、インシデント対応、デジタルフォレンジックなどが不足している
マージされた項目:
A4:2013 – 安全でない直接オブジェクト参照とA7:2013 – 機能レベルアクセス制御の欠落が新しいA5:2017-アクセス制御の不備に統合されました。
消えた項目:
A8:2013 – クロスサイトリクエストフォージェリ(CSRF) -現在、多くのフレームワークはCSRFから保護されており、データ分析では5%のアプリケーションにしか関連しないことが分かりました。
A10:2013 – 未検証のリダイレクトとフォーワード 。 -この問題は約8%のアプリケーションに含まれていましたが、これはリストの新しい項目であるXXEよりわずかに小さい数値でした。
概観
意外ではありませんが、汚染されたデータは、 A1:2017 – インジェクションに見られるように、依然として大きな問題です。これは、真剣に防御的プログラミングに取り組むことが非常に効果的な問題ですが、どうやら、まだテストによって解決しようという試みが続けられているようです。今こそ真剣な取り組みを始めて、次回の2020年のトップ10からこの問題を追放するべきです。みんなで最善を尽くしましょう!
A3:2017 – 機密データの露出は、EUのGeneral Data Protection Regulation( GDPR )を視野に入れている場合、手始めとして取り組むのに最適な問題です。GDPRホームページのカウントダウンでは、執行日まで185日間を切っています。ただちにコードの修正を始めてください。この問題に対処することは、もちろん米国においても、PCI-DSSやHIPAAのようなプライバシーに関する要件に対して有効です。適切なアクセス制御と暗号化によってユーザーのデータを保護しましょう。データ侵害はありふれた問題です。
最新のOWASP Top 10で私が特に良いと思う点の1つは、各Top 10にCommon Weakness Enumeration(CWE)の項目への明示的なリンクが付いていることです。CWEの項目を参照すると、問題の内容、背景、弱点を解消する方法について、より詳しく知ることができます。また、リンクがあることで、ユーザーにとって最も重要な項目に関連する問題を簡単に見つけられます。CWE Top 25は、 OWASP Top 10の問題を封じ込めた後の次のステップとして最適です。
なにをすべきか
まず、 OWASP Top 10 – 2017のpdfをダウンロードし、それを読んでください。何が問題か、またアプリケーションから問題を排除するにあたって何から始めればよいかに関する情報が豊富に記載されています。次に、セキュリティポリシーにOWASP Top 10を組み込み、開発者とテスト担当者のチームが問題に対処する準備ができていることを確認します。静的解析や侵入テストなどのセキュリティツールにコンフィギュレーションを追加することで、この取り組みを推進できます。Parasoftのフォーラムには、すでにParasoftの静的解析ツール用のコンフィギュレーションがアップロードされています。
OWASP Top 10は出発地であり、目的地ではありません。OWASP Top 10は、Webアプリケーションに影響を与える可能性がある最も重要な問題をリストアップしたものです。問題への対処が済んだら、CWEやSEI CERTのような、より網羅的な標準を使って改善を続ける必要があります。それによって、セキュリティの足場を広げ、将来現れるセキュリティ上の課題に備えることができます。
Parasoft の C/C++ 言語対応テストツール C++test、Java 言語対応テストツール Jtest、.NET Framework 対応テストツール dotTEST は、OWASP Top 10 を含むさまざまなコーディング標準への準拠を検証するためのルール・コンフィギュレーションを備えています。
