OWASP TOP10とはサイバー攻撃に対してWebアプリケーションがどれだけ脅威に晒されているのかを知るうえでの指標になる文書のことです。この記事では、OWASP TOP10について解説していきます。
サイバー攻撃・セキュリティの問題点は攻撃の手口が年々巧妙化し、それに合わせたセキュリティ環境の構築が求められる点です。セキュリティソフトが毎年のように改定版を出しているのもそのためで、ある時点で完璧だったセキュリティもあっというまに「時代遅れ」なものとなってサイバー攻撃に晒されてしまうことも珍しくありません。
セキュリティ環境を構築する側としてはリスク管理の一環として毎年コストと時間をかけたうえで相応しい環境を維持していくことが求められるわけです。
そして厄介なのはどの程度を持って「セキュリティ環境が万全なのか」を判断することです。これは実際には不可能といってもよいでしょう。つねに最新のセキュリティ技術を導入するのがもっとも理想的ですが、さすがにそれができる資金力や人的資源を確保できる企業は限られています。またサイトを運営している企業や店舗の内容、規模、扱っているデータの量・種類によって「万全なセキュリティ環境」の定義も異なってきます。
それぞれの環境に合わせて必要なセキュリティ環境を、確保できるコストや時間の範囲内でいかに維持していくかが求められるわけです。
そこで現在どのようなサイバー攻撃の脅威が存在し、どういった対応が必要なのかといった最新の動向を知るための指標として用意されているのがOWASP TOP10なのです。
OWASPはセキュリティ診断ツールがよく知られていますが、国際規模で展開されているプロジェクトのことです。正式名称は「THE OPEN Web APPLICATION SECURITY PROJECT(国際Webセキュリティ標準機構)」でこれらに頭文字をつなげた通称としてOWASPが使用されています。
本部はアメリカですが、現在では日本を含めた世界各国に200を超える支部が展開されており、国際規模での活動が展開されています。この団体ではWebセキュリティの推進とサイバー攻撃からの防御のため100を超えるプロジェクトが推進されており、そのうちのひとつとしてOWASP TOP10が発表されています。
サイバー攻撃には国ごとの事情や動向の違いが見られます。セキュリティ環境が充実している国もあればそうでない国もありますし、それぞれの国の特徴に合わせたサイバー攻撃が行われるといった状況もあります。ですからOWASP TOP10では国際規模で展開している団体の強みを生かし、世界中から集められた情報を元に指標が作成され、発表されています。
これは3~4年に一度のペースで発表されており、その都度最新のサイバー攻撃の状況やWebアプリケーションがどのような脅威にさらされているのかといった情報が掲載されています。
これまで発表されてきたOWASP TOP10においても毎回新しい脆弱性の問題が指摘されており、サイバー攻撃の脅威が年々変化しており、警戒すべき点が増えていることを示しています。
例えば2017年に発表されたバージョンでは2013年に発表されたバージョンと比べて削除された脅威がある一方、もともと二つに分かれていた脅威がひとつに統合された内容なども見られます。
例えばA-4に分類されている「脆弱なアクセス制御」はその2つに統合された指標で、使用者に対するアクセス制御がしっかり認証されていない場合に発生する問題です。サイバー攻撃者がこの脆弱性をつくことで利用者のアカウントに侵入して個人情報をチェックできる状況になってしまいます。
厄介なのは単にデータにアクセスして盗み出すだけでなく、アクセス環境を直接修正する権限も確保できる点です。つまりサイトの改ざんやダウンといったトラブルを引き起こすこともできるわけで、非常に厄介な問題と言えます。
それからA-6に分類されているのが「重要データの露出」。つまり重要なデータが危険に晒されている状況で、個人情報の流出を招く非常に大きなリスクを抱えることになります。企業の顧客データや医療機関の患者のデータなど、しっかりとしたセキュリティ環境で保護されていないとあっという間に漏洩して顧客や患者にも大きな被害を出してしまいかねません。
さらにA-7に分類されているのが「不十分な攻撃保護」。Webアプリケーションの多くは自動攻撃と手動攻撃を検出したうえで対応するための機能が備わっていません。サイバー攻撃に対して速やかに対応するためにはこうした攻撃を自動的に検知して対応できる環境が求められます。しかし実際にこうした攻撃保護の環境が用意されているWebアプリケーションは少なく、このOWASP TOP10においても注意喚起が行われています。
ほかにもA-5に分類されている「セキュリティ設定エラー」ではセキュリティ設定の問題点、最適されていないことでサイバー攻撃に対してもろい部分が出てしまう点について注意喚起が行われています。例えばセキュリティソフトのアップデータを忘れているなど、ちょっとした見逃しがサイバー攻撃に対して隙を作ってしまうこともあるのです。
このようにOWASP TOP10では今現在もっとも注意すべきWebアプリケーションのセキュリティ動向をチェックするためのポイントが用意されています。また、かつては脅威だったものが現在ではそれほど問題ではなくなっているといった時代の変化も最新版をチェックすることが確認することができます。
これをチェックすればこれまで重視してきたセキュリティのポイントがいまや時代遅れであって、新しい対策が必要なことに気づかされるかもしれません。また思ってもみなかったアプローチからサイバー攻撃が行われていることに気づいてゾッとさせられることもあるでしょう。
この指標は世界中のセキュリティの専門家たちがその知識やノウハウを共有し、議論を交わしたうえで決定し、公表するものです。それだけに信ぴょう性は非常に高く、有効なセキュリティ環境を築いていくうえでの参考になるのは間違いないでしょう。
先ほどサイバー攻撃は国の動向などによって違いが見られると書きました。実際にサイバー攻撃にはトレンドや動向といったものがあり、その時代や地域によって特徴が見られます。言い換えれば、こうしたトレンドや動向を知っておくことでより適切な対策を施すことができるわけです。
この点はコスト意識の面でも大きなメリットをもたらしてくれるでしょう。すべてにおいて完璧なセキュリティ環境を整えるのが理想的ですが、それができるための予算や人的資源を用意できる企業は少ないはずです。この指標を確認することで自分たちはどんなサイバー攻撃に対して備えをすればよいのか、どういった部分にお金と時間をかければよいのかの取捨選択がしやすくなります。
現在OWASPは日本でも積極的な活動が行われるようになっており、情報を入手しやすい環境になっています。この指標も以前は英語版がメインでしたが、現在では日本語でも気軽に接することができるようになっています。言葉の壁もなく、無料で入手できるわけですから利用しない手はないでしょう。
セキュリティ対策が必要なのはわかっているけど何をしたらいいのかわからない、本当に対策が有効なのか判断するのが難しい。そんな悩みを抱えている企業やネットショップにとっても心強い味方になってくれるはずです。OWASPが提供しているセキュリティ診断ツールと併せて利用すれば効果がさらにアップするでしょう。
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
この記事と一緒に読まれています
2022.02.28
セキュリティ対策
2020.04.16
セキュリティ対策
クロスサイトスクリプティング(XSS)のセキュリティ対策とは?
2019.09.08
セキュリティ対策
2020.05.08
セキュリティ対策
2021.07.06
セキュリティ対策
2019.12.08
セキュリティ対策