「OWASP Top 10 2021」は 2017年版とどこが変わった? 診断会社のSHIFT SECURITYが解説資料公開 | ScanNetSecurity
2021.11.28(日)

「OWASP Top 10 2021」は 2017年版とどこが変わった? 診断会社のSHIFT SECURITYが解説資料公開

今回 SHIFT SECURITY が公開した資料は、約 4 年ぶりにアップデートされた OWASP Top 10 最新版が、前回の 2017 年版と比べて何が変わったのについて「カテゴリの変化」「順位の変動」「記載方法の変更」の 3 つの視点から新旧対照方式によって分析を試みている。

調査・レポート・白書 調査・ホワイトペーパー
「OWASP Top 10 2021の重要ポイントを2017と比較解説」目次
「OWASP Top 10 2021の重要ポイントを2017と比較解説」目次 全 4 枚 拡大写真
 株式会社SHIFT SECURITYは 11 月 18 日、Webアプリケーションのセキュリティを研究する非営利の国際コミュニティ OWASP(The Open Web Application Security Project)が本年 9 月にアップデートした「OWASP Top 10 2021」の技術者向け解説資料「OWASP Top 10 2021の重要ポイントを2017と比較解説」を公開した。情報登録を行えば無料でダウンロードできる。

 OWASP Top 10 は、同コミュニティが公開する多数の優れたドキュメントのひとつで、Webアプリケーションが含みうる重大なセキュリティリスクをランキング形式で示すもので、2003 年にはじめて公開され、以降定期的にアップデートされており、最も信頼される Webアプリケーションセキュリティの情報源のひとつとして国際的に利用されている。

 今回 SHIFT SECURITY が公開した資料「OWASP Top 10 2021の重要ポイントを2017と比較解説」は、約 4 年ぶりにアップデートされた OWASP Top 10 最新版が、前回の 2017 年版と比べて何が変わったのについて「カテゴリの変化」「順位の変動」「記載方法の変更」の 3 つの視点から新旧対照方式によって分析を試みている。

カテゴリの変化

TOP10 2017から2021の順位の変動
 また、2021 年の更新で前回の 5 位から 1 位となった「アクセス制御の不備」、前回の 3 位から 2 位となった「暗号化の失敗」、前回の 1 位から 3 位となった「インジェクション」、業界の専門家の高い関心を集めた 10 位の「サーバーサイド・リクエスト・フォージェリ(SSRF)」の 4 つのリスクに関して、ソフトウェア開発者や脆弱性診断などに従事する技術者に向けた解説を行っている。

3位 インジェクション
 本資料をとりまとめたメンバーの一人である海瀬 秀晃(かいせ ひであき)氏は、SHIFT SECURITY社が実施する Web脆弱性診断の診断手法や診断品質担保を担当するチームのリーダーを務めており、同社の脆弱性診断メニューのうちゴールドプランはすでに「OWASP Top 10 2021」への適応を完了しているという。

 本誌取材に対し海瀬氏は「自社組織のセキュリティ対策の方針に則り、OWASP TOP10 に準拠する基準が存在するのであれば、適切に対応の指示と、準拠する基準の変更の判断を行う必要がある」と語った。

「OWASP Top 10 2021の重要ポイントを2017と比較解説」
発行年月日:2021年11月18日
発行:株式会社SHIFT SECURITY
形式:PDF / 27ページ / 1.4 MB
ダウンロード:https://www.shiftsecurity.jp/owasptop10_2021/

「OWASP Top 10 2021の重要ポイントを2017と比較解説」目次

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report)

    Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report)

  2. 「Emotet」テイクダウンから復活 ~ トレンドマイクロが動向やテイクダウン前との違いを解説

    「Emotet」テイクダウンから復活 ~ トレンドマイクロが動向やテイクダウン前との違いを解説

  3. サイバー攻撃者とハンティングチーム 365日間の「対話」~ CrowdStrike  2021年度 脅威ハンティングレポート公開

    サイバー攻撃者とハンティングチーム 365日間の「対話」~ CrowdStrike 2021年度 脅威ハンティングレポート公開PR

  4. 日本薬学会Webサイトへ不正アクセス、緊急メンテナンスを実施し復旧

    日本薬学会Webサイトへ不正アクセス、緊急メンテナンスを実施し復旧

  5. Googleフォームの誤設定事案、コロナ感染防止策用の健康調査リストが閲覧可能に

    Googleフォームの誤設定事案、コロナ感染防止策用の健康調査リストが閲覧可能に

  6. C&Cサーバ検知と通信の秘密、総務省「電気通信事業におけるサイバー攻撃への適正な対処 第四次とりまとめ」公表

    C&Cサーバ検知と通信の秘密、総務省「電気通信事業におけるサイバー攻撃への適正な対処 第四次とりまとめ」公表

  7. proofpoint、日本で新しい情報保護及びクラウドセキュリティプラットフォームを販売開始

    proofpoint、日本で新しい情報保護及びクラウドセキュリティプラットフォームを販売開始

  8. 平成18年のサイバー犯罪の検挙件数や特徴などを発表(警察庁)

    平成18年のサイバー犯罪の検挙件数や特徴などを発表(警察庁)

  9. 「持続不可能」な日本の DX ~ 中国よりもサステナビリティ経営の意識低く、調査対象中堂々最下位

    「持続不可能」な日本の DX ~ 中国よりもサステナビリティ経営の意識低く、調査対象中堂々最下位

  10. トレンドマイクロ、BEC攻撃者が悪用する5つの主要なメールチャネルについて解説

    トレンドマイクロ、BEC攻撃者が悪用する5つの主要なメールチャネルについて解説

ランキングをもっと見る