OWASP Top 10

概念・規格

最も重大なWebアプリ脆弱性10カテゴリをまとめた業界標準のリスク文書。

概要

OWASP Top 10は、非営利団体OWASP(Open Worldwide Application Security Project)が数年ごとに発表する、Webアプリケーションで最も重大な脆弱性カテゴリ上位10件をまとめた文書です。世界中の開発者・セキュリティ担当者の事実上の必読リファレンスとなっています。

最新版(2021年版)では、(1) アクセス制御の不備、(2) 暗号化の失敗、(3) インジェクション(SQLi含む)、(4) 安全でない設計、(5) セキュリティ設定ミス、(6) 脆弱性のあるコンポーネント、(7) 認証の不備、(8) ソフトウェア・データ整合性の不備、(9) ログとモニタリングの不備、(10) SSRF(Server-Side Request Forgery)、が挙げられています。

各カテゴリには、典型的な攻撃シナリオ・防御策・関連CWE(脆弱性種別)が示されており、開発・運用・監査の各フェーズで参照されます。資格試験(CISSP・CEH等)や規格(PCI DSS等)でもベースリファレンスとして引用されます。

Scanrollはこう守る

ScanrollはOWASP Top 10の中でも特に運用フェーズで検出可能なカテゴリ(インジェクション・設定ミス・脆弱性のあるコンポーネント等)を中心に、Webサーバーログとファイル状態を監視して攻撃と異常を検知します。設計・コーディング段階の対策は別途必要ですが、運用面での「最後の防衛線」として機能します。