OWASP Top10 2021:
リスクの新たな波

  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share via AddThis

はじめに

最新のアプリケーションやアーキテクチャ、マルチクラウドの導入、ソフトウェア サプライチェーンやCI/CDパイプラインなどのサードパーティの統合に依存する今日のデジタル経済において、攻撃者のチャンスは爆発的に増えています。OWASP Top 10 2021では、アプリケーションの設計と実装におけるセキュリティを改善する必読のガイダンスとして、リスクの新たな波に対応しています。

この20年で非常に重要なアップデート

2003年に最初にリリースされたOWASP Top 10は、Webアプリケーションの重大なセキュリティ リスクに関する広範なコンセンサスを表しています。20年間、上位のリスクはほとんど変わりませんでしたが、2021年のアップデートでは、3つのテーマ分野のアプリケーション リスクに対応する大幅な変更が加えられました。

リスクを再分類し、症状と根本原因を一致させる

最新のアプリケーション アーキテクチャと開発を包含する新しいリスク カテゴリ

ビジネス ロジックの悪用だけでなく、脆弱性の悪用も反映

パスワード スカル

データ漏洩の原因の第1位とは

アクセス攻撃


「アクセス攻撃、つまりユーザーに表示される認証対象に対する攻撃が、データ漏洩の原因として最も頻繁に見られたものでした。」1

- 2022年版アプリケーション プロテクション レポート:データ流出の予測

2021年の新着情報

OWASP Top 10のアップデートに影響を与えた重要な要素は以下のとおりです。

2017年

従来のWebアプリケーションに焦点を当てる

小規模なデータ セット(30のCWEの所定のサブセット)

さまざまなリスク要因、技術的/ビジネス的な影響

20年以上前から最大のリスクであるインジェクション

2021年

最新のアーキテクチャへの移行

400のCWEによるデータ駆動型のプロセス

症状と根本原因を中心に再分類

リスクの新たな波:安全でない設計と実装

2021 OWASP Top 10のセキュリティ リスク

A01

アクセス制御の不備

A02

暗号化の失敗

A03

インジェクション

A04

安全でない設計

A05

セキュリティの設定ミス

A6

脆弱で古くなったコンポーネント

A7

識別と認証の失敗

A8

ソフトウェアとデータの整合性の不具合

A9

セキュリティ ロギングとモニタリングの失敗

A10

Server-Side Request Forgery(SSRF)

テーマ1

根本原因と合致した症状

セキュリティOWASPデバイス アクセス

変更内容

OWASP Top 10のリスクは、CWE(共通脆弱性タイプ一覧)にマッピングされ、これらは多くの場合、脆弱性の悪用となります。しかし、これまでのOWASPのデータ収集では、30のCWEの所定のセットに焦点が当てられており、以前のリストでは、根本原因を表すCWEと、さまざまな潜在的原因を持つ症状を伴う弱点との間に大きな区別がありませんでした。2021年のリストでは、400のCWEが反映されているため、より幅広い分析が可能になりました。

2017年:症状

A3:2017年
機密データの露出

A7:2017年
クロスサイト スクリプティング(XSS)

A4:2017年
XML外部エンティティ(XXE)

A9:2017年
既知の脆弱性を持つコンポーネントの使用

A8:2017年
安全でないデシリアライゼーション

A10:2017年
不十分なロギングとモニタリング

2021年:根本原因

A02:2021年
暗号化の失敗

A03:2021年
インジェクション

A05:2021年
セキュリティの設定ミス

A06:2021年
脆弱で古くなったコンポーネント

A08:2021年
ソフトウェアとデータの整合性の不具合

A09:2021年
セキュリティ ロギングとモニタリングの失敗

重要である理由

2021年のリストでは、基盤となる根本原因に症状を合致させているため、セキュリティ チームはリスクをソースから軽減することに集中することができます。

パスワード スカル

データ漏洩の原因の第1位とは

セキュリティの設定ミス


「私たちが皆さんに行ってほしいことは、症状に応急処置を施すのではなく、症状の根本原因および症状に対して何ができるかを実際に考えることです。」2

- OWASP Foundation、エグゼクティブ ディレクター、Andrew van der Stock氏

テーマ2

新しいリスク カテゴリ

セキュリティOWASPデバイス ハッカー

変更内容

3つの新しいリスク カテゴリでは、アプリケーション設計の最初からセキュリティに取り組み、セキュリティをソフトウェア ライフサイクルの一部に組み込む必要性を強調しています。

A04:2021年
安全でない設計

A08:2021年
ソフトウェアとデータの整合性の不具合

A10:2021年
Server-Side Request Forgery

重要である理由

最近、log4j2の脆弱性が公表され、オープンソース ソフトウェアの悪用の重要性に注目が集まりました。log4j2ロギング ユーティリティの弱点は、OWASP Top 10の2つのリスク カテゴリにマッピングされ、CVEと実際の悪用により、インジェクション、ソフトウェア、データの整合性の不具合、脆弱で古くなったコンポーネントの三大要因が揃ったことになります。

OWASPのショート インフォグラフィック

図1:オープンソースのApache Log4j2ロギング ユーティリティにおけるLog4Shellの悪用は、複数のリスク カテゴリにまたがる攻撃の一例です。Message Lookup Substitutionが有効な場合、LDAPサーバーから読み込まれた任意のコードを実行することができます。

「安全な設計でも、悪用される可能性のある脆弱性につながる実装上の欠陥がある場合があります。」

- OWASP Top 10 2021

テーマ3

最新のアプリケーションとアーキテクチャの保護

セキュリティOWASPユーザー データセンター タブレット

変更内容

クラウドの導入、コンテナ化、モバイル アプリケーション、APIやサードパーティの統合の普及などにより、アプリケーション アーキテクチャは進化しています。ログイン ページ、ショッピング カート、その他のビジネス ロジックは欠陥ではありませんが、本質的に悪用されやすいものです。OWASP Top 10 2021では、この新しい世界秩序におけるプロアクティブで先制的なセキュリティに関するガイダンスを提供します。

OWASPのショート インフォグラフィック

図2:昨日のベスト プラクティスは、今日の分散型の最新のアプリケーションとアーキテクチャには不十分である。

重要である理由

セキュリティは、安全なCI/CDパイプライン、コンポーネント インベントリ、脅威のモデル化、健全なリスク管理など、アプリケーション開発プロセス全体を通じて統合される必要があります。最新のOWASP Top 10は、セキュリティを基本的な設計原則の中にさらに組み込むことを目指す、AppDev/DevOps専門家のためのリソースを提供します。

1 F5の2022年の「アプリケーション プロテクション レポート」。

2 Van der Stock, Andrew氏、OWASP Top 10、YouTube。2021年10月8日。

さらに詳しく

レポート

レポート

F5 Labsの2022年の「アプリケーション プロテクション レポート」

この1年間で脅威がどのように進化したのか、最新の攻撃を阻止するためにセキュリティ防御機能をどのように調整すればよいのかが分かります。

レポートを見る ›

eBook

Eブック

2021 OWASP Top 10:リスクの新たな波

より安全な開発とより優れたアプリケーション セキュリティの基盤としてOWASP Top 10を活用する方法をご覧ください。

Eブックを読む ›

Webセミナー

Webセミナー

OWASP Top 10 2021:新たなリスクの秩序

OWASP Top 10の変更点と、F5 Distributed Cloud WAAPのようなソリューションがどのようにこれらのリスクを軽減するのかをご覧ください。

すぐに見る›

ソリューション シミュレータ

ソリューション シミュレータ

F5 Distributed Cloud Web App and API Protection(WAAP)

アプリケーションの実行場所を問わない総合的なas-a-Service保護のインタラクティブ デモをご覧ください。

仕組みを見る ›

ビデオ

ビデオ

2021 OWASP Top 10 Lightboardレッスンのビデオシリーズ

新しいOWASP Top 10 Webアプリケーション セキュリティ リスクの詳細な内訳をご覧ください。

すぐに見る›