X
Akamai logo
+1-8774252624
+1-8774252624
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
製品トライアル
サイバー脅威にお困りの方
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する

OWASP とは

Open Worldwide Application Security Project(OWASP) は、ソフトウェアのセキュリティ向上を目的とした非営利団体です。設立当初は Open Web Application Security Project と呼ばれていた OWASP は、2001 年に教育、ツール、およびコラボレーションを通じて安全なソフトウェアを推進するグローバルなオープンコミュニティとなるという使命を掲げて設立されました。2024 年現在、OWASP 財団には、アフリカ、アジア、カリブ海地域、中央アメリカ、ヨーロッパ、北アメリカ、オセアニア、南アメリカを含む、世界中に 250 以上の支部があります。 

OWASPは何をしていますか?

OWASP は、コミュニティ主導のオープンソース・ソフトウェア・プロジェクトや、業界をリードする教育やトレーニングのカンファレンスを数多くコーディネートしています。OWASP のプロジェクト、ツール、文書、フォーラム、各拠点は、アプリケーションセキュリティの向上に貢献する目的であれば、誰でもアクセスして無料で利用できます。

OWASP トップ 10とは何ですか?

OWASP トップ 10 は、世界中のセキュリティエキスパートの幅広いコンセンサスによって決定された、Web アプリケーションに対する最も重大なセキュリティリスクのリストです。この OWASP トップ 10 はガイドとして、Web アプリケーションのセキュリティを確保し、より安全なコードを生成するためのソフトウェア開発の文化を改革する役割を担う企業、DevOps チーム、規制当局、その他の利害関係者が利用できます。

OWASP トップ 10 の策定方法

OWASP トップ 10 のセキュリティ脅威リストは、貢献者によるオープンコミュニティ体験と専門知識、および世界中のセキュリティエキスパート間のコンセンサスに基づいて策定されています。各リスクのランクは、セキュリティ脆弱性の発生頻度、潜在的な影響の深刻度と規模など、複数の要因に基づいて決定されます。

OWASP トップ 10 Web アプリケーション・セキュリティ・リスクとは何ですか?

こちらの Akamai OWASP トップ 10 ホワイトペーパーをダウンロードしてください。

  1. A01:2021 アクセス制御の不備 により、攻撃者がユーザーアカウントにアクセスし、ユーザーまたは管理者として行動できます。また、一般ユーザーが意図しない特権機能を誤って使用できるようになる可能性もあります。
  2. A02:2021 暗号化の失敗 は、重要なデータや機微な情報が、保存または送信中に侵害された場合に発生します。
  3. A03:2021 コードインジェクション攻撃 は、SQL インジェクションのように、無効なデータや悪性のコードが攻撃者によって Web アプリケーションに送信され、アプリケーションが想定外の動作をすることで発生します。
  4. A04:2021 安全が確認されない不安な設計 は、不適切な認証プロセスを持つアプリケーションや、ボットを防御する設計がされていない Web サイトなど、セキュリティが確保されていないプロセスを軸にアプリケーションが開発された場合に発生します。
  5. A05:2021 セキュリティ設定のミス には、クラウドサービスのアクセス許可の設定が不適切、初期設定のまま管理者用のパスワードを使用する、必要のない機能をインストールしているなどがあります。
  6. A06:2021 脆弱で古くなったコンポーネント は、サポートされていない、または古くなったソフトウェアや内部コンポーネントによって発生する脆弱性です。
  7. A07:2021 識別と認証の失敗 は、アプリケーションがユーザー ID を適切に確認または検証できない場合や、セキュアなセッション管理を確立できない場合に発生します。
  8. A08:2021 ソフトウェアとデータの整合性の不具合 は、アプリケーションのコードとインフラが、ソフトウェアやデータの整合性を完全に保護できない場合に発生します。
  9. A09:2021 セキュリティログとモニタリングの失敗 は、アプリケーションの、セキュリティリスクを検知して対応する能力の脆弱性です。
  10. A10:2021 サーバーサイド・リクエスト・フォージェリ は、Web アプリケーションが、ユーザーが指定した URL に基づいて、リモートリソースからデータを取り込む際に発生します。

OWASP API Security Project とは

トップ 10 Web アプリケーション・セキュリティ・リスクを順位付けすることに加えて、OWASP は、APIセキュリティトップ 10 も作成しています。 これは、アプリケーション・プログラミング・インターフェース(API)の最も危険なセキュリティ問題と脆弱性のリストです。このリストは 2019 年に初版が作成され、2023 年に更新されました。

2019 年以降の OWASP API トップ 10 の変化を示す図。 2019 年以降の OWASP API トップ 10 の変化を示す図。

詳細をご希望の場合は、このトピックに関する Akamai のブログ記事もご覧ください。

OWASP API セキュリティトップ 10 リストには、どのような脆弱性がありますか?

  1. API1:2023 オブジェクトレベルの認可の不備 は、API エンドポイントに適切なアクセス制御がない場合に発生します。その結果、機微な情報が暴露され、権限のないユーザーが機微な情報にアクセスし、変更できるようになります。
  2. API2:2023 認証の不備(BA) は、認証メカニズムが正しく実装されていない場合に発生します。攻撃者が認証トークンを侵害したり、実装の欠陥を悪用して他のユーザーの身元を推測したりすることが可能になります。
  3. API3:2023 オブジェクト・プロパティ・レベルの認可の不備(BOPLA) は、APIがオブジェクト・プロパティ・レベルの認可を適切に検証しない場合に発生します。
  4. API4:2023 制限のないリソース消費 は、ネットワーク帯域幅、CPU、メモリ、ストレージを大量に消費するリクエストであり、サービス拒否やコスト増につながる可能性があります。
  5. API5:2023 機能レベルの認可の不備 は、階層、グループ、ロールが複雑に入り組んだアクセス制御ポリシーや、管理機能と通常機能の分離が不明確であることに起因する、認可の欠陥により発生します。
  6. API6:2023 機密性の高いフローへの制限のないアクセス は、API がビジネスフローを制限することなく公開したり、機能が自動化されて過度に使用される潜在的なリスクを補正しなかったりする場合に発生します。
  7. API7:2023 Server Side Request Forgery(SSRF) は、API がユーザーから提供された URI を検証せずにリモートリソースをフェッチする場合に発生します。これにより攻撃者は、アプリケーションに細工したリクエストを予期しない宛先に送信させることができます。
  8. API8:2023 セキュリティ設定のミス は、ソフトウェアエンジニアと DevOps エンジニアが API とそれをサポートするシステムを適切に設定しなかった場合に発生します。
  9. API9:2023 不適切なインベントリ管理 は、IT 管理者がホストと展開された API バージョンのインベントリを適切に文書化および更新しなかった場合に発生します。
  10. API10:2023 API の安全でない使用 は、開発者がサードパーティのAPIを精査することなく信頼を拡大し、セキュリティポスチャを弱体化させる場合に発生します。

OWASP プロジェクトには他にどんなものがありますか?

OWASP は、多くの重要なプロジェクトを調整し、監督しています。

  • Dependency-Track は、企業がソフトウェアのサプライチェーンにおけるリスクを特定し、低減することを支援するインテリジェントなコンポーネント分析プラットフォームです。Dependency-Track は、アプリケーションのすべてのバージョンにわたってコンポーネントの使用状況を監視し、組織全体のリスクを事前に特定します。
  • Juice Shop は、セキュリティトレーニング、意識向上デモ、CTF(Capture the Flag ゲーム)、セキュリティツールのモルモットとして使用する目的で設計された、安全性が非常に低い Web アプリケーションです。Juice Shop は、OWASP トップ 10 にあるすべての脆弱性と、実際のアプリケーションで頻繁に検出される多くの追加的なセキュリティ欠陥を考慮して記述されています。
  • OWASP Mobile Application Security Project は、モバイルアプリのセキュリティ標準であり、包括的なテストガイドです。モバイルアプリのセキュリティテストで使用されるプロセス、技法、ツールについて説明し、テスト担当者が一貫性のある包括的な結果を出せるように、網羅的なテストケースのセットを提供しています。
  • OWASP ModSecurity コア・ルール・セット は、ModSecurity または互換性のある Web アプリケーションファイアウォールで使用するための一般的な攻撃検知ルールのセットです。
  • ソフトウェア保証成熟度モデル(SAMM) は、安全な開発ライフサイクルを分析し、改善するための効果的で測定可能な方法を提供します。
  • Web セキュリティ・テスト・ガイド・プロジェクト とは、 サイバーセキュリティ Web アプリケーション開発者とセキュリティエキスパート用の主要なサイバーセキュリティ・テスト・リソースです。

OWASP はどのようにして API と Web セキュリティを向上させることができますか?

企業やそのセキュリティチームは、OWASP トップ 10 リストから実用的な情報を入手できます。このリストは、セキュリティチームにとっては重要なチェックリストとして、また、DevOps チームにとってはセキュリティ標準として機能します。監査担当者は、企業が Web アプリケーションセキュリティと API 保護に関するベストプラクティスと開発標準に準拠しているかどうかを評価する際にこのリストを使用します。

Akamai が選ばれる理由

Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所で企業のデータとアプリケーションを保護する多層防御をご利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。

Akamai の全セキュリティソリューションをご紹介

詳細はこちら