「Webアプリケーション脆弱性診断ガイドライン」を公開、手動診断を定義(JNSA、OWASP Japan) | ScanNetSecurity
2023.03.22(水)

「Webアプリケーション脆弱性診断ガイドライン」を公開、手動診断を定義(JNSA、OWASP Japan)

JNSA、ISOG-Jのセキュリティオペレーションガイドラインワーキンググループと、OWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」は、「Webアプリケーション脆弱性診断ガイドライン」を公開した。

製品・サービス・業界動向 新製品・新サービス
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)の日本セキュリティオペレーション事業者協議会(ISOG-J)のセキュリティオペレーションガイドラインワーキンググループと、OWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト(代表 上野宣)」は4月24日、「Webアプリケーション脆弱性診断ガイドライン」を公開した。

同プロジェクトでは、システムのリリース前に脆弱性の有無を調査し、問題点の修正を行う脆弱性診断の一連の営みの重要性が高まっている反面、Webアプリケーションの脆弱性診断については、保有すべき具体的なスキルマップが関係者間で統一されておらず、脆弱性診断を行う技術者やサービス事業の力には差違が見られるとしている。

また、Webアプリケーションの脆弱性診断は、自動診断ツールだけでは不十分であるとし、手動診断補助ツールの併用が望ましい。しかし、手動診断は脆弱性診断士の経験やスキルによる診断能力の差違がある。そこで同プロジェクトでは、最低限必要な診断項目や手順を定義することで、一定レベルの手動診断による脆弱性診断を行うことができる「Webアプリケーション脆弱性診断ガイドライン」を作成、公開した。ガイドラインは無償でダウンロードできる。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通 FENICS のネットワーク機器での不正通信、東京海上日動火災保険のメールデータが流出した可能性

    富士通 FENICS のネットワーク機器での不正通信、東京海上日動火災保険のメールデータが流出した可能性

  2. 浄化槽システム開発委託先でノートPC紛失「高度なセキュリティで漏えいリスクはない」と公表遅れる

    浄化槽システム開発委託先でノートPC紛失「高度なセキュリティで漏えいリスクはない」と公表遅れる

  3. Azure AD おまえもか、クラウド オンプレ両参加のデバイスに潜む危険

    Azure AD おまえもか、クラウド オンプレ両参加のデバイスに潜む危険

  4. 富士通 FENICS のネットワーク機器での不正通信、岩崎通信機グループのメールデータが流出した可能性

    富士通 FENICS のネットワーク機器での不正通信、岩崎通信機グループのメールデータが流出した可能性

  5. サイバー攻撃の動機 セキュリティ企業に恥をかかせる

    サイバー攻撃の動機 セキュリティ企業に恥をかかせる

  6. メールアドレス手入力ミス 統一地方選挙立候補予定者の個人情報誤送信、送信先音信不通

    メールアドレス手入力ミス 統一地方選挙立候補予定者の個人情報誤送信、送信先音信不通

  7. 富士通 FENICS のネットワーク機器での不正通信、京セラのメールデータの一部が外部流出した可能性

    富士通 FENICS のネットワーク機器での不正通信、京セラのメールデータの一部が外部流出した可能性

  8. 金沢大学同窓会員8,910件記録したUSBメモリ紛失するも暗号化済み

    金沢大学同窓会員8,910件記録したUSBメモリ紛失するも暗号化済み

  9. Microsoft OneNote形式のファイルを悪用した Emotet の新たな手口を確認

    Microsoft OneNote形式のファイルを悪用した Emotet の新たな手口を確認

  10. “判明した時点で第一報的公表を検討することが望ましい” ~「サイバー攻撃被害に係る情報の共有・公表ガイダンス」公表

    “判明した時点で第一報的公表を検討することが望ましい” ~「サイバー攻撃被害に係る情報の共有・公表ガイダンス」公表

ランキングをもっと見る