OWASP Top10 2021:
リスクの新たな波
はじめに
最新のアプリケーションやアーキテクチャ、マルチクラウドの導入、ソフトウェア サプライチェーンやCI/CDパイプラインなどのサードパーティの統合に依存する今日のデジタル経済において、攻撃者のチャンスは爆発的に増えています。OWASP Top 10 2021では、アプリケーションの設計と実装におけるセキュリティを改善する必読のガイダンスとして、リスクの新たな波に対応しています。
この20年で非常に重要なアップデート
2003年に最初にリリースされたOWASP Top 10は、Webアプリケーションの重大なセキュリティ リスクに関する広範なコンセンサスを表しています。20年間、上位のリスクはほとんど変わりませんでしたが、2021年のアップデートでは、3つのテーマ分野のアプリケーション リスクに対応する大幅な変更が加えられました。
データ漏洩の原因の第1位とは
アクセス攻撃
「アクセス攻撃、つまりユーザーに表示される認証対象に対する攻撃が、データ漏洩の原因として最も頻繁に見られたものでした。」1
- 2022年版アプリケーション プロテクション レポート:データ流出の予測
2021年の新着情報
OWASP Top 10のアップデートに影響を与えた重要な要素は以下のとおりです。
2017年
従来のWebアプリケーションに焦点を当てる
小規模なデータ セット(30のCWEの所定のサブセット)
さまざまなリスク要因、技術的/ビジネス的な影響
20年以上前から最大のリスクであるインジェクション
2021年
最新のアーキテクチャへの移行
400のCWEによるデータ駆動型のプロセス
症状と根本原因を中心に再分類
リスクの新たな波:安全でない設計と実装
2021 OWASP Top 10のセキュリティ リスク
A01
アクセス制御の不備
A02
暗号化の失敗
A03
インジェクション
A04
安全でない設計
A05
セキュリティの設定ミス
A6
脆弱で古くなったコンポーネント
A7
識別と認証の失敗
A8
ソフトウェアとデータの整合性の不具合
A9
セキュリティ ロギングとモニタリングの失敗
A10
Server-Side Request Forgery(SSRF)
テーマ1
根本原因と合致した症状
変更内容
OWASP Top 10のリスクは、CWE(共通脆弱性タイプ一覧)にマッピングされ、これらは多くの場合、脆弱性の悪用となります。しかし、これまでのOWASPのデータ収集では、30のCWEの所定のセットに焦点が当てられており、以前のリストでは、根本原因を表すCWEと、さまざまな潜在的原因を持つ症状を伴う弱点との間に大きな区別がありませんでした。2021年のリストでは、400のCWEが反映されているため、より幅広い分析が可能になりました。
2017年:症状
A3:2017年
機密データの露出
A7:2017年
クロスサイト スクリプティング(XSS)
A4:2017年
XML外部エンティティ(XXE)
A9:2017年
既知の脆弱性を持つコンポーネントの使用
A8:2017年
安全でないデシリアライゼーション
A10:2017年
不十分なロギングとモニタリング
2021年:根本原因
A02:2021年
暗号化の失敗
A03:2021年
インジェクション
A05:2021年
セキュリティの設定ミス
A06:2021年
脆弱で古くなったコンポーネント
A08:2021年
ソフトウェアとデータの整合性の不具合
A09:2021年
セキュリティ ロギングとモニタリングの失敗
重要である理由
2021年のリストでは、基盤となる根本原因に症状を合致させているため、セキュリティ チームはリスクをソースから軽減することに集中することができます。
データ漏洩の原因の第1位とは
セキュリティの設定ミス
「私たちが皆さんに行ってほしいことは、症状に応急処置を施すのではなく、症状の根本原因および症状に対して何ができるかを実際に考えることです。」2
- OWASP Foundation、エグゼクティブ ディレクター、Andrew van der Stock氏
テーマ2
新しいリスク カテゴリ
変更内容
3つの新しいリスク カテゴリでは、アプリケーション設計の最初からセキュリティに取り組み、セキュリティをソフトウェア ライフサイクルの一部に組み込む必要性を強調しています。
A04:2021年
安全でない設計
A08:2021年
ソフトウェアとデータの整合性の不具合
A10:2021年
Server-Side Request Forgery
重要である理由
最近、log4j2の脆弱性が公表され、オープンソース ソフトウェアの悪用の重要性に注目が集まりました。log4j2ロギング ユーティリティの弱点は、OWASP Top 10の2つのリスク カテゴリにマッピングされ、CVEと実際の悪用により、インジェクション、ソフトウェア、データの整合性の不具合、脆弱で古くなったコンポーネントの三大要因が揃ったことになります。
図1:オープンソースのApache Log4j2ロギング ユーティリティにおけるLog4Shellの悪用は、複数のリスク カテゴリにまたがる攻撃の一例です。Message Lookup Substitutionが有効な場合、LDAPサーバーから読み込まれた任意のコードを実行することができます。
「安全な設計でも、悪用される可能性のある脆弱性につながる実装上の欠陥がある場合があります。」
- OWASP Top 10 2021
テーマ3
最新のアプリケーションとアーキテクチャの保護
変更内容
クラウドの導入、コンテナ化、モバイル アプリケーション、APIやサードパーティの統合の普及などにより、アプリケーション アーキテクチャは進化しています。ログイン ページ、ショッピング カート、その他のビジネス ロジックは欠陥ではありませんが、本質的に悪用されやすいものです。OWASP Top 10 2021では、この新しい世界秩序におけるプロアクティブで先制的なセキュリティに関するガイダンスを提供します。
図2:昨日のベスト プラクティスは、今日の分散型の最新のアプリケーションとアーキテクチャには不十分である。
重要である理由
セキュリティは、安全なCI/CDパイプライン、コンポーネント インベントリ、脅威のモデル化、健全なリスク管理など、アプリケーション開発プロセス全体を通じて統合される必要があります。最新のOWASP Top 10は、セキュリティを基本的な設計原則の中にさらに組み込むことを目指す、AppDev/DevOps専門家のためのリソースを提供します。
1 F5の2022年の「アプリケーション プロテクション レポート」。
2 Van der Stock, Andrew氏、OWASP Top 10、YouTube。2021年10月8日。
さらに詳しく
レポート
F5 Labsの2022年の「アプリケーション プロテクション レポート」
この1年間で脅威がどのように進化したのか、最新の攻撃を阻止するためにセキュリティ防御機能をどのように調整すればよいのかが分かります。
Eブック
2021 OWASP Top 10:リスクの新たな波
より安全な開発とより優れたアプリケーション セキュリティの基盤としてOWASP Top 10を活用する方法をご覧ください。
Webセミナー
OWASP Top 10 2021:新たなリスクの秩序
OWASP Top 10の変更点と、F5 Distributed Cloud WAAPのようなソリューションがどのようにこれらのリスクを軽減するのかをご覧ください。
