OWASP Top 10 は、同コミュニティが公開する多数の優れたドキュメントのひとつで、Webアプリケーションが含みうる重大なセキュリティリスクをランキング形式で示すもので、2003 年にはじめて公開され、以降定期的にアップデートされており、最も信頼される Webアプリケーションセキュリティの情報源のひとつとして国際的に利用されている。
今回 SHIFT SECURITY が公開した資料「OWASP Top 10 2021の重要ポイントを2017と比較解説」は、約 4 年ぶりにアップデートされた OWASP Top 10 最新版が、前回の 2017 年版と比べて何が変わったのについて「カテゴリの変化」「順位の変動」「記載方法の変更」の 3 つの視点から新旧対照方式によって分析を試みている。
また、2021 年の更新で前回の 5 位から 1 位となった「アクセス制御の不備」、前回の 3 位から 2 位となった「暗号化の失敗」、前回の 1 位から 3 位となった「インジェクション」、業界の専門家の高い関心を集めた 10 位の「サーバーサイド・リクエスト・フォージェリ(SSRF)」の 4 つのリスクに関して、ソフトウェア開発者や脆弱性診断などに従事する技術者に向けた解説を行っている。
本資料をとりまとめたメンバーの一人である海瀬 秀晃(かいせ ひであき)氏は、SHIFT SECURITY社が実施する Web脆弱性診断の診断手法や診断品質担保を担当するチームのリーダーを務めており、同社の脆弱性診断メニューのうちゴールドプランはすでに「OWASP Top 10 2021」への適応を完了しているという。
本誌取材に対し海瀬氏は「自社組織のセキュリティ対策の方針に則り、OWASP TOP10 に準拠する基準が存在するのであれば、適切に対応の指示と、準拠する基準の変更の判断を行う必要がある」と語った。
「OWASP Top 10 2021の重要ポイントを2017と比較解説」
発行年月日:2021年11月18日
発行:株式会社SHIFT SECURITY
形式:PDF / 27ページ / 1.4 MB
ダウンロード:https://www.shiftsecurity.jp/owasptop10_2021/
