最新Webセキュリティ事情まとめ
OWASP Top 10:2021を噛み砕く

次世代システム研究室のY.Cです。Webセキュリティ上の脅威を10のカテゴリに分類し概要と対応方法をまとめたOWASP Top 10をご存知ですか？ 昨年更改され、最新版がOWASP Top 10:2021となりました。ウェブ開発者なら一読の価値ありですが、いかんせん英語が堅苦しくて読みづらいです。今回は、OWASP Top 10:2021の内容を翻訳し、表形式にして関連した内容をまとめることで、少しでも読みやすくなるよう整理してみました。

方針

今回はひとまず以下の方針でまとめています。

• 原文はhttps://owasp.org/Top10/ (2021年版)
• 主にDescriptionとHow To Preventを翻訳し、それぞれ表の観点、対応、という列に配置
• 関係がありそうな項目は表の同じ行に配置。観点と対応で必ずしも対応関係があるわけではないです

原文の方には攻撃例のシナリオや関連するCWE等の情報もありますので、合わせてご覧下さい。

A01:2021 – アクセスコントロールの不備

[table id=14 /]

A02:2021 – 暗号化の不備

[table id=15 /]

A03:2021 – インジェクション

[table id=16 /]

A04:2021 – インセキュアデザイン

[table id=17 /]

A05:2021 – セキュリティ上の構成ミス

[table id=18 /]

A06:2021 – 脆弱で古いコンポーネント

[table id=19 /]

A07:2021 – 識別と認証の不備

[table id=20 /]

A08:2021 – ソフトウェアとデータの完全性の不備

[table id=21 /]

A09:2021 – セキュリティロギングとモニタリングの不備

[table id=22 /]

A10:2021 – サーバーサイドリクエストフォージェリ (SSRF)

[table id=23 /]

感想

思ったよりは読みやすくなっていない気もしますが、原文を読む前の取っ掛かりにはなるかと思います。しばしば日本語にはない表現に出会えたのは面白かったです。舗装道路(paved road)とか、、日本語で知の高速道路という言い回しは最近よく聞きますが、少しニュアンスは違う気がします。また数年後に更改された際には、超訳OWASP Top 10とでも称して、スラスラ読めるようなものを作れたらいいな。

次世代システム研究室では、 Web アプリケーション開発を行うアーキテクトを募集しています。募集職種一覧 からご応募をお待ちしています。