「OWASP Top 10 2021」は 2017年版とどこが変わった? 診断会社のSHIFT SECURITYが解説資料公開 | ScanNetSecurity
2024.03.29(金)

「OWASP Top 10 2021」は 2017年版とどこが変わった? 診断会社のSHIFT SECURITYが解説資料公開

今回 SHIFT SECURITY が公開した資料は、約 4 年ぶりにアップデートされた OWASP Top 10 最新版が、前回の 2017 年版と比べて何が変わったのについて「カテゴリの変化」「順位の変動」「記載方法の変更」の 3 つの視点から新旧対照方式によって分析を試みている。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
PR
「OWASP Top 10 2021の重要ポイントを2017と比較解説」目次
「OWASP Top 10 2021の重要ポイントを2017と比較解説」目次 全 4 枚 拡大写真
 株式会社SHIFT SECURITYは 11 月 18 日、Webアプリケーションのセキュリティを研究する非営利の国際コミュニティ OWASP(The Open Web Application Security Project)が本年 9 月にアップデートした「OWASP Top 10 2021」の技術者向け解説資料「OWASP Top 10 2021の重要ポイントを2017と比較解説」を公開した。情報登録を行えば無料でダウンロードできる。

 OWASP Top 10 は、同コミュニティが公開する多数の優れたドキュメントのひとつで、Webアプリケーションが含みうる重大なセキュリティリスクをランキング形式で示すもので、2003 年にはじめて公開され、以降定期的にアップデートされており、最も信頼される Webアプリケーションセキュリティの情報源のひとつとして国際的に利用されている。

 今回 SHIFT SECURITY が公開した資料「OWASP Top 10 2021の重要ポイントを2017と比較解説」は、約 4 年ぶりにアップデートされた OWASP Top 10 最新版が、前回の 2017 年版と比べて何が変わったのについて「カテゴリの変化」「順位の変動」「記載方法の変更」の 3 つの視点から新旧対照方式によって分析を試みている。

カテゴリの変化

TOP10 2017から2021の順位の変動
 また、2021 年の更新で前回の 5 位から 1 位となった「アクセス制御の不備」、前回の 3 位から 2 位となった「暗号化の失敗」、前回の 1 位から 3 位となった「インジェクション」、業界の専門家の高い関心を集めた 10 位の「サーバーサイド・リクエスト・フォージェリ(SSRF)」の 4 つのリスクに関して、ソフトウェア開発者や脆弱性診断などに従事する技術者に向けた解説を行っている。

3位 インジェクション
 本資料をとりまとめたメンバーの一人である海瀬 秀晃(かいせ ひであき)氏は、SHIFT SECURITY社が実施する Web脆弱性診断の診断手法や診断品質担保を担当するチームのリーダーを務めており、同社の脆弱性診断メニューのうちゴールドプランはすでに「OWASP Top 10 2021」への適応を完了しているという。

 本誌取材に対し海瀬氏は「自社組織のセキュリティ対策の方針に則り、OWASP TOP10 に準拠する基準が存在するのであれば、適切に対応の指示と、準拠する基準の変更の判断を行う必要がある」と語った。

「OWASP Top 10 2021の重要ポイントを2017と比較解説」
発行年月日:2021年11月18日
発行:株式会社SHIFT SECURITY
形式:PDF / 27ページ / 1.4 MB
ダウンロード:https://www.shiftsecurity.jp/owasptop10_2021/

「OWASP Top 10 2021の重要ポイントを2017と比較解説」目次

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る