ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
2007年5月入社でユービーセキュアの設立メンバー。主にWebアプリケーション診断や診断スキルトレーニングを約10年経験。診断ツール「Vex」のプリセールスを経て現在は脆弱性管理ソリューションのプリセールス、ポストセールスチームを統括。セルフSMを趣味としています。
目崎さんこんにちは!今日のテーマは「OWASP」ですね。読み方はオワスプ……?
目崎さん
そうです!OWASP(Open Web Application Security Project)は、Webアプリケーションのセキュリティ向上に多大な貢献をしています。Webアプリケーションやセキュリティに携わる方なら一度は耳にしたことがあるはずですから、ぜひ覚えてくださいね。
なるほど、オワスプッ!!しっかり覚えるミア!
目崎さん
おっ、やる気十分ですね!では今回は、OWASPの基本的な役割を学び、その提供するツールやガイドラインがどのようにしてWebセキュリティを支えているかを理解しましょう。
目崎さん
OWASPは、2001年に設立された非営利団体で、Webアプリケーションのセキュリティを向上させるためのありとあらゆる有益な情報を提供しています。その目的は、セキュリティに関する情報をオープンかつ簡単にアクセスができるような形で提供し、開発者やセキュリティ専門家が安全なWebアプリケーションを構築できるよう支援することです。
プログラムや規格の名前かと思ったら、団体名だったミア。とても重要な情報を提供しているんですね!
目崎さん
そうなんです。OWASPが提供する主要なものには、セキュリティガイドライン、ツール、サンプル脆弱アプリ、トレーニング資料などがあります。これらの情報は、世界中のセキュリティ従事者のボランティアにより発案、開発、保守され、すべて無償で世界中に公開され活用されています。特に注目すべきは、「OWASP Top 10」と「OWASP ASVS(Application Security Verification Standard)」です。
ボランティアで!みんなでアプリケーションの安全を守っているミア。
目崎さん
ちなみに以前は脆弱性診断ツール「OWASP ZAP」も提供していましたが、ZAPは2023年8月にOWASPから離れ、「The Software Security Project」の元で有志コミュニティにより活動するようになりました。その後2024年に商用ソースコード診断ツールで有名なCheckmarx社とタッグを組み、2024年10月現在、引き続き無償で「ZAP by Checkmarx」を提供しています。
現在は別の道を歩んではいますが、手軽なWebアプリケーションスキャンツールとして、OWASPによりZAPが世へ送り出されたことが大きな功績であることは間違いありません。
特に注目すべき、「OWASP Top 10」と「OWASP ASVS(Application Security Verification Standard)」について知りたいミア。
目崎さん
では、一つずつ説明しましょう。まずOWASP Top 10は、Webアプリケーションにおける最も重大なセキュリティリスクをリストアップしたものです。初版は2004年にリリースされ、以降3年から5年の間隔で更新され、最新の脅威動向に対応しています。ちなみに2025年上半期には「OWASP Top 10:2025」がリリースされるとアナウンスされています。
2025年上半期ということは、間もなくミア!
目崎さん
そうなんです。最新版を待ちつつ、今日は2021年版のOWASP Top 10に掲載されている主要なセキュリティリスクを簡単に紹介しましょう。
おぉ……前に教わった「設定ミス」や「安全が確認されない不安な設計」もあるミア!
目崎さん
そうですね。ちなみに各リスクは、システムに対する具体的な脅威とその防止策を理解するために詳細に説明されています。例えば、インジェクション攻撃に対しては、入力値のバリデーションやプリペアドステートメントの使用が推奨されています。
バリデーション、プリペアド……詳しく読んで勉強してみるミア!
目崎さん
「OWASP ASVS」は、Webアプリケーションのセキュリティ要件を体系的に定義したフレームワークです。ASVSは、開発者やセキュリティ専門家がアプリケーションのセキュリティを評価・改善する際の一つの基準に用いられることが比較的多いといえます。
ASVSは、セキュリティ要件をレベル1からレベル3までの3段階に分類しています。それぞれがどの程度のセキュリティレベルに該当するかを簡単に見てみましょう。
レベル1:世の中に公開するWebシステムとして最低限のセキュリティ対策に取り組んでいるといえるレベル
レベル2:Webシステムのセキュリティ対策に包括的に取り組んでいるといえるレベル
レベル3:社会インフラなど高いレベルのセキュリティ対策に取り組んでいるといえるレベル
このフレームワークを使用することで、アプリケーションのセキュリティレベルを段階的に向上させることが可能です。
なるほど。具体的にはどうやってこのフレームワークを使うミア?
目崎さん
具体的なASVSの利用方法としては、以下のようなものがあります。
セキュリティレベルを向上させるための指針ASVSは非常に有効なフレームワークであり、私たちにとってセキュリティ対策の一つのよりどころになり得ます。
留意しなければならないのは、「このフレームワークの各項目に合致させること」が目的にならないようにすることです。かけるコストと得られる成果から実施する/しないを判断する必要があります。
たしかに、フレームワークの水準を満たすことにばかり気を取られて、コストをかけ過ぎたり効果が置き去りにされたりしてしまうと本末転倒ミア。
目崎さん
そうなんです。それに、すべての項目をカバーできるセキュリティツールは今のところ存在しません。複数のツールと人の介入が必要になるものであることを前提に利用してほしいですね。
目崎さん
OWASPは、Top 10やASVS以外にも多数の情報を提供しています。例えば、診断やCTF(Capture The Flag、セキュリティ版旗取り競争)を始めてみたい方であれば、「Juice Shop」という脆弱アプリを自由にダウンロードして使うことできます。「OWASP Mobile Security Testing Guide(MSTG)」は、モバイルアプリケーションのセキュリティテストに関する包括的なガイドラインを提供しています。
これらの情報は、デベロッパーやセキュリティ専門家がより安全なアプリケーションを構築するための強力なサポートとなります。
ほかにもたくさんの役立つ情報があるミア……!
目崎さん
OWASPの提供するツールやガイドラインは、Webアプリケーションのセキュリティを向上させるために非常に有用なものといえるでしょう。OWASP Top 10やASVSを活用することで、セキュリティリスクを効果的に管理し、より安全なWeb環境を構築することができます。
常に新しい情報を収集していくことも大切ミア!今日はいろいろ教えてくれてありがとミア!