Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

OWASPTop10_Introduction

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Nächste SlideShare
What Makes Software Green?
What Makes Software Green?
Wird geladen in …3
×

Hier ansehen

1 von 30 Anzeige

OWASPTop10_Introduction

Herunterladen, um offline zu lesen

This presentation introduces the OWASP Top 10:2021.
It explains how to look at the data related to OWASP Top 10:2021, and provides detailed explanations of items with distinctive data. It also introduces the OWASP Project related to each item.

This presentation introduces the OWASP Top 10:2021.
It explains how to look at the data related to OWASP Top 10:2021, and provides detailed explanations of items with distinctive data. It also introduces the OWASP Project related to each item.

Anzeige
Anzeige

Weitere Verwandte Inhalte

Weitere von Rakuten Group, Inc. (20)

Aktuellste (20)

Anzeige

OWASPTop10_Introduction

  1. 1. OWASP Top10 2021 のご紹介 Mar 2022 Rakuten Mobile, Inc. CSIRT Promotion Dept. Akitsugu Ito
  2. 2. 2 Open Web Application Security Project® (OWASP) とは? • ソフトウェアのセキュリティ向上に取り組む非営利の財団法人。 • コミュニティ主導のオープンソースソフトウェアプロジェクト、世界中にある数 百の地域支部、数万人のメンバー、主要な教育・トレーニングカンファレンスを 通じて、開発者や技術者がウェブの安全を確保するための情報源となっている。 https://owasp.org/
  3. 3. 3 OWASP Top 10 2021 とは? • 開発者とWebアプリケーション・セキュリティのための標準的な啓発文書 • ウェブアプリケーションに対する最も重大なセキュリティリスクについて、デー タと有識者の意見をもとに表現されている。 • 2003 年から作成され、2021 年版が 7 回目の更新となる。 https://owasp.org/Top10/ https://owasp.org/Top10/ja/
  4. 4. 4 OWASP Top 10 の使い方 主なユースケースは 意識向上プログラム アプリケーション・セキュリティにおけるスタンダードを採用するなら OWASP ASVS を参考に
  5. 5. 5 OWASP ASVS (The Application Security Verification Standard) とは? • Web アプリケーションおよび、Web サービスを設計、開発、テストする際に必 要となる、機能的および非機能的なセキュリティの管理策の定義に焦点を当てた セキュリティ要件および、管理策のフレームワーク。 • 2008 年に 1.0 がリリースされ、最新版の 4.0.3 が 2021 年 10 月にリリースされた。 https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/OWASP%20Application%20Security%20Verificati on%20Standard%204.0.3-en.pdf (原文) レベル 概要 要件の数 1 すべてのアプリケーションが目指すべき必要最低限のレベル。 ツールによって自動的にチェックでき、ソースコードにアクセスする必 要なく手動で検証が可能。 128 2 大半の機密情報を含むアプリケーションが目指すべきレベル。 熟練した動機のある攻撃者が悪用する脅威に対策する。 258 3 最高の検証レベル。重要インフラなどの分野で見られるようなアプリ ケーションに適用され、定められている全てのセキュリティ要件を満た す。 278
  6. 6. 6 OWASP Top 10 と OWASP ASVS の関係性 • OWASP ASVS 4.0.3 は OWASP Top 10 2017 に対応する要件を包括的に満たすよう に設計され、OWASP Top10 の採用者が具体的なセキュリティ標準に容易にス テップアップできるように設計されている。 • OWASP Top10 2021 が指摘する全てのリスクに対する何らかの検証観点は OWASP ASVS 4.0.3 に含まれている。 • OWASP ASVS 4.0.3 における約 62 % の検証観点が、OWASP Top10 2021 が指摘す るセキュリティ上の弱点のカテゴリ(CWE)を網羅している。 アプリケーション・セキュリティにおけるスタンダードを採用したいと考えている人には、 OWASP Application Security Verification Standard(ASVS)を使用することをお勧めします。 (参考)~ OWASP Top 10 をスタンダードとして使うには~ https://owasp.org/Top10/ja/A00_2021_How_to_use_the_OWASP_Top_10_as_a_standard/
  7. 7. 7 OWASP Top 10:2021 一覧 No EN JP A01:2021 Broken Access Control アクセス制御の不備 A02:2021 Cryptographic Failures 暗号化の失敗 A03:2021 Injection インジェクション A04:2021 Insecure Design 安全が確認されない不安な設計 A05:2021 Security Misconfiguration セキュリティ設定のミス A06:2021 Vulnerable and Outdated Components 脆弱で古くなったコンポーネント A07:2021 Identification and Authentication Failures 識別と認証の失敗 A08:2021 Software and Data Integrity Failure ソフトウェアとデータの整合性の 問題 A09:2021 Security Logging and Monitoring Failures セキュリティログとモニタリング の失敗 A10:2021 Server-Side Request Forgery (SSRF) サイバーサイドリクエストフォー ジェリ(SSRF)
  8. 8. 8 データ分析と業界調査の双方を取り込んだランク付け No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A01:2021 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 A02:2021 29 46.44% 4.49% 7.29 6.81 79.33% 34.85% 233,788 3,075 A03:2021 33 19.79% 3.37% 7.25 7.15 94.04% 47.90% 274,228 32,078 A04:2021 40 24.19% 3.00% 6.46 6.78 77.25% 42.51% 262,407 2,691 A05:2021 20 19.84% 4.51% 8.12 6.56 89.58% 44.84% 208,387 789 A06:2021 3 27.96% 8.77% 5.00 5.00 51.78% 22.47% 30457 0 A07:2021 22 14.84% 2.55% 7.40 6.50 79.51% 45.72% 132,195 3,897 A08:2021 10 16.67% 2.05% 6.94 7.94 75.04% 45.35% 47,972 1,152 A09:2021 4 19.23% 6.51% 6.87 4.99 53.67% 39.97% 53,615 242 A10:2021 1 2.72% 2.72% 8.28 6.72 67.72% 67.72% 9,503 385 データから発生率の高い8つのカテゴリを選別。その後業界調査からこれらのカテゴリに含まれない 上位2つのカテゴリを選別。最終的な順位は攻撃難易度と攻撃の影響を考慮してランク付け。
  9. 9. 9 パラメータ紹介(1) No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A01:2021 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 A02:2021 29 46.44% 4.49% 7.29 6.81 79.33% 34.85% 233,788 3,075 A03:2021 33 19.79% 3.37% 7.25 7.15 94.04% 47.90% 274,228 32,078 A04:2021 40 24.19% 3.00% 6.46 6.78 77.25% 42.51% 262,407 2,691 A05:2021 20 19.84% 4.51% 8.12 6.56 89.58% 44.84% 208,387 789 A06:2021 3 27.96% 8.77% 5.00 5.00 51.78% 22.47% 30457 0 A07:2021 22 14.84% 2.55% 7.40 6.50 79.51% 45.72% 132,195 3,897 A08:2021 10 16.67% 2.05% 6.94 7.94 75.04% 45.35% 47,972 1,152 A09:2021 4 19.23% 6.51% 6.87 4.99 53.67% 39.97% 53,615 242 A10:2021 1 2.72% 2.72% 8.28 6.72 67.72% 67.72% 9,503 385 CWE (Common Vulnerability Enumeration) 数: 特定のカテゴリに含まれる CWE の数。 より多くの脆弱性タイプが含まれるカテゴリ程、幅広い考え方が取り込まれている(抽象度が高い)
  10. 10. 10 パラメータ紹介(2) No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A01:2021 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 A02:2021 29 46.44% 4.49% 7.29 6.81 79.33% 34.85% 233,788 3,075 A03:2021 33 19.79% 3.37% 7.25 7.15 94.04% 47.90% 274,228 32,078 A04:2021 40 24.19% 3.00% 6.46 6.78 77.25% 42.51% 262,407 2,691 A05:2021 20 19.84% 4.51% 8.12 6.56 89.58% 44.84% 208,387 789 A06:2021 3 27.96% 8.77% 5.00 5.00 51.78% 22.47% 30457 0 A07:2021 22 14.84% 2.55% 7.40 6.50 79.51% 45.72% 132,195 3,897 A08:2021 10 16.67% 2.05% 6.94 7.94 75.04% 45.35% 47,972 1,152 A09:2021 4 19.23% 6.51% 6.87 4.99 53.67% 39.97% 53,615 242 A10:2021 1 2.72% 2.72% 8.28 6.72 67.72% 67.72% 9,503 385 CVE(Common Vulnerabilities and Exposures)件数: 特定のカテゴリにマッピングされた CVE (個別製品中の脆弱性を対象として採番される識別子) の 合計件数。
  11. 11. 11 パラメータ紹介(3) No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A01:2021 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 A02:2021 29 46.44% 4.49% 7.29 6.81 79.33% 34.85% 233,788 3,075 A03:2021 33 19.79% 3.37% 7.25 7.15 94.04% 47.90% 274,228 32,078 A04:2021 40 24.19% 3.00% 6.46 6.78 77.25% 42.51% 262,407 2,691 A05:2021 20 19.84% 4.51% 8.12 6.56 89.58% 44.84% 208,387 789 A06:2021 3 27.96% 8.77% 5.00 5.00 51.78% 22.47% 30457 0 A07:2021 22 14.84% 2.55% 7.40 6.50 79.51% 45.72% 132,195 3,897 A08:2021 10 16.67% 2.05% 6.94 7.94 75.04% 45.35% 47,972 1,152 A09:2021 4 19.23% 6.51% 6.87 4.99 53.67% 39.97% 53,615 242 A10:2021 1 2.72% 2.72% 8.28 6.72 67.72% 67.72% 9,503 385 発生率(Incidence Rate): その年に脆弱性情報を提供した機関がテストしたアプリケーションの母集団から、 各カテゴリの CWE に脆弱となるアプリケーションの割合。
  12. 12. 12 パラメータ紹介(4) No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A01:2021 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 A02:2021 29 46.44% 4.49% 7.29 6.81 79.33% 34.85% 233,788 3,075 A03:2021 33 19.79% 3.37% 7.25 7.15 94.04% 47.90% 274,228 32,078 A04:2021 40 24.19% 3.00% 6.46 6.78 77.25% 42.51% 262,407 2,691 A05:2021 20 19.84% 4.51% 8.12 6.56 89.58% 44.84% 208,387 789 A06:2021 3 27.96% 8.77% 5.00 5.00 51.78% 22.47% 30457 0 A07:2021 22 14.84% 2.55% 7.40 6.50 79.51% 45.72% 132,195 3,897 A08:2021 10 16.67% 2.05% 6.94 7.94 75.04% 45.35% 47,972 1,152 A09:2021 4 19.23% 6.51% 6.87 4.99 53.67% 39.97% 53,615 242 A10:2021 1 2.72% 2.72% 8.28 6.72 67.72% 67.72% 9,503 385 攻撃の難易度・攻撃の影響(Weighted Exploit・Weighted Impact): CVE に割り当てられた CVSS (Common Vulnerability Scoring System: 脆弱性に対する評価手法の1つ) v2 および v3 のスコアを CWE にマップし重みづけして 10pt で評価した難易度と影響のスコア。
  13. 13. 13 パラメータ紹介(5) No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A01:2021 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 A02:2021 29 46.44% 4.49% 7.29 6.81 79.33% 34.85% 233,788 3,075 A03:2021 33 19.79% 3.37% 7.25 7.15 94.04% 47.90% 274,228 32,078 A04:2021 40 24.19% 3.00% 6.46 6.78 77.25% 42.51% 262,407 2,691 A05:2021 20 19.84% 4.51% 8.12 6.56 89.58% 44.84% 208,387 789 A06:2021 3 27.96% 8.77% 5.00 5.00 51.78% 22.47% 30457 0 A07:2021 22 14.84% 2.55% 7.40 6.50 79.51% 45.72% 132,195 3,897 A08:2021 10 16.67% 2.05% 6.94 7.94 75.04% 45.35% 47,972 1,152 A09:2021 4 19.23% 6.51% 6.87 4.99 53.67% 39.97% 53,615 242 A10:2021 1 2.72% 2.72% 8.28 6.72 67.72% 67.72% 9,503 385 網羅率(Coverage): ある CWE について、その年に脆弱性情報を提供した機関がテストしたアプリケーションの割合
  14. 14. 14 パラメータ紹介(6) No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A01:2021 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013 A02:2021 29 46.44% 4.49% 7.29 6.81 79.33% 34.85% 233,788 3,075 A03:2021 33 19.79% 3.37% 7.25 7.15 94.04% 47.90% 274,228 32,078 A04:2021 40 24.19% 3.00% 6.46 6.78 77.25% 42.51% 262,407 2,691 A05:2021 20 19.84% 4.51% 8.12 6.56 89.58% 44.84% 208,387 789 A06:2021 3 27.96% 8.77% 5.00 5.00 51.78% 22.47% 30457 0 A07:2021 22 14.84% 2.55% 7.40 6.50 79.51% 45.72% 132,195 3,897 A08:2021 10 16.67% 2.05% 6.94 7.94 75.04% 45.35% 47,972 1,152 A09:2021 4 19.23% 6.51% 6.87 4.99 53.67% 39.97% 53,615 242 A10:2021 1 2.72% 2.72% 8.28 6.72 67.72% 67.72% 9,503 385 総発生数: CWE がカテゴリにマッピングされていることが確認されたアプリケーションの総数。
  15. 15. 15 A01:2021 – アクセス制御の不備 • 攻撃者によるアクセス制御の変更を許さない • アクセス制御メカニズムを一か所で実装しアプリケーション全体でそれを再利用する。 • 信頼できるサーバーサイドのコードまたはサーバーレスAPIで実施される場合によってのみ、 アクセス制御が機能するようにする • アクセス制御に関する機能面での単体・結合テストを取り入れる • アクセス制御の失敗をログに記録し、必要に応じて管理者に警告する 出典:A01:2021 – Broken Access Control https://github.com/OWASP/Top10/blob/master/2021/doc s/A01_2021-Broken_Access_Control.md No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A01:2021 34 55.97% 3.81% 6.92 5.93 94.55% 47.72% 318,487 19,013
  16. 16. 16 A01:2021 – アクセス制御の不備に対応する ASVS の検証観点例 ID 検証内容 CWE 4.1.2 アクセス制御で使用されるすべてのユーザ属性とデータ属性およびポ リシー情報は、特に認可されていない限りエンドユーザーによって操 作されない。 ユーザが管理する鍵による認証 の迂回 (CWE-639) 4.1.3 最小権限の原則が導入されている。ユーザは認可されているものにつ いてのみ、機能やデータファイル、URL、コントローラ、サービス、 他のリソースにアクセスできる。これは、なりすましや権限昇格に対 する防御となる。 不適切な認可 (CWE-285) 4.2.2 認証済みの機能を保護するために、アプリケーションやフレームワー クが強力な CSRF 対策メカニズムを実施していること、および有効な 自動化対策や CSRF 対策が未認証機能の保護を実施している。 クロスサイトリクエストフォー ジェリ (CWE-352) 4.3.2 ディレクトリリスティグは、意図して許可されない限り、無効となっ ている。また、ファイルやディレクトリのメタデータ (Thumbs.db、.git フォルダなど) の検出や開示が許可されていない。 ディレクトリリスティングによ る情報漏えい (CWE-548) 5.1.5 URL のリダイレクト先と転送先がホワイトリストに登録された宛先の み許可されている、または信頼できない可能性のあるコンテンツにリ ダイレクトするときに警告を表示する。 オープンリダイレクト (CWE- 601)
  17. 17. 17 A03:2021 – インジェクション • データ入力に関する完全な自動テストを実装する • 静的ソースコード解析ツール (SAST) と動的アプリケーションテストツール (DAST) を CI/CDパイプラインに導入する • OWASP Cheat Sheet Series を活用する • コマンドとクエリからデータを常に分けておく • ソースコードのレビュー観点にする No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A03:2021 33 19.79% 3.37% 7.25 7.15 94.04% 47.90% 274,228 32,078 出典:A03:2021 – Injection https://github.com/OWASP/Top10/blob/master/2021/doc s/A03_2021-Injection.md
  18. 18. 18 A03:2021 – インジェクションに対応する ASVS の検証観点例 ID 検証内容 CWE 5.1.3 すべての入力データがバリデーションされている。入力データには、 HTML のフォームのフィールド、REST 呼び出し、クエリパラメータ、 HTTP ヘッダ、Cookie、バッチファイル、RSS フィードなども含む。 バリデーションはホワイトリスト方式で行う。 不適切な入力確認 (CWE-20) 5.2.2 非構造化データが無害化され、使用可能な文字や長さなど一般的な対 策が適用されている。 特定要素の不適切な無害化 (CWE-138) 5.2.4 eval()もしくは動的コード実行機能を使用しない。代替方法がない場合 は、実行前に含まれるユーザ入力の無害化もしくはサンドボックス化 する。 Eval インジェクション (CWE- 95) 5.2.5 テンプレートインジェクション攻撃に対して、ユーザ入力の無害化も しくはサンドボックス化によってアプリケーションが保護されている。 コード・インジェクション (CWE-94) 5.3.3 HTML や他の Web クライアントコード中に存在するすべての文字列変 数が、コンテキストに応じて適切に手動でエンコードされる、もしく はコンテキストに応じて自動的にエンコードを行うテンプレートを使 用しており、アプリケーションが、反射型、格納型、および DOM ベースクロスサイトスクリプティング (XSS) 攻撃の影響を受けない。 クロスサイトスクリプティング (CWE-79)
  19. 19. 19 OWASP Cheat Sheet Series • 特定のアプリケーション・セキュリティのトピックについて、価値の高い情報を 簡潔に収集することを目的に作られたドキュメント • 他の OWASP Project との相互 Index が整備されている • OWASP Top 10 の各カテゴリ • OWASP ASVS の各検証項目 出典:OWASP Cheat Sheet Series https://cheatsheetseries.owasp.org/index.html
  20. 20. 20 A04:2021 – 安全が確認されない不安な設計 • 安全が確認された安心な設計 • ソフトウェアに追加できるアドオンでもツールでもない • 常に脅威を評価し、既知の攻撃方法を防ぐためにコードを堅牢に設計し、テストする文化と方 法論を確立することが重要 • Secure Development Lifecycle を確立する • OWASP SAMM を活用することを推奨 • セキュリティアーキテクチャ • 脅威分析 No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A04:2021 40 24.19% 3.00% 6.46 6.78 77.25% 42.51% 262,407 2,691 出典:A04:2021 – Insecure Design https://github.com/OWASP/Top10/blob/master/2021/doc s/A04_2021-Insecure_Design.ja.md
  21. 21. 21 A04:2021 – 安全が確認されない不安な設計に対応する ASVS の検証観点例 ID 検証内容 CWE 3.1.1 アプリケーションが URL パラメータやエラーメッセージ内にセッショ ントークンを漏洩しない。 GETリクエストのクエリ文字列 からの情報漏洩 (CWE-598) 4.1.1 クライアント側のアクセス制御が存在し、それが迂回される可能性が ある場合には、アプリケーションは信頼できるサービスレイヤに対し てアクセス制御ルールを適用する。 サーバサイドのセキュリティを クライアントサイドで実施 (CWE-602) 4.3.1 管理インタフェースが、不正使用を防ぐために、適切な多要素認証を 使用している。 保護されていないプライマリー チャネル (CWE-419) 5.1.1 アプリケーションが HTTP 変数汚染攻撃に対する防御策を備えている。 特にアプリケーションフレームワークが、リクエストパラメータの ソース(GET、POST、Cookie、ヘッダ、環境など)を区別しない場合 想定を超えたパラメータの不適 切な処理 (CWE-235) 8.2.1 最新のブラウザで機密データがキャッシュされないように、アプリ ケーションは十分なキャッシュ防止ヘッダを設定する。 機密情報を含むWebブラウザ のキャッシュの使用 (CWE-525) 11.1.1 アプリケーションが同じユーザのビジネスロジックフローを手順通り、 省略せずに処理する。 ユーザーの振る舞いに基づいた ワークフローに依存した不適切 な処理の実施 (CWE-841)
  22. 22. 22 OWASP SAMM (OWASP Software Assurance Maturity Model ) • あらゆる種類の組織がソフトウェアセキュリティを分析および、改善するために 利用可能な自己評価モデル 出典:OWASP SAMM - ABOUT US https://owaspsamm.org/
  23. 23. 23 A06:2021 – 脆弱で古くなったコンポーネント • テストやリスク評価に苦労する問題 • ASVS にも十分な検証観点は含まれていない(1.14.3) • パッチ管理プロセスを構築する • 未使用の依存関係、不要な機能、コンポーネント、ファイルや文書を 取り除く • Vulnerable Dependency Management Cheat Sheet も参考になる No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A06:2021 3 27.96% 8.77% 5.00 5.00 51.78% 22.47% 30457 0 出典: A06:2021 – Vulnerable and Outdated Components https://github.com/OWASP/Top10/blob/master/2021/doc s/A06_2021-Vulnerable_and_Outdated_Components.md
  24. 24. 24 • ソフトウェアサプライチェーンの問題 • SolarWindsのサプライチェーン攻撃についてまとめてみた • 十分な整合性の検証を行った上で、自動更新を行う • ソフトウェアサプライチェーンの管理プロセスを構築する • OWASP CycloneDX などの SBOM 管理ツールを開発プロセスに 組み込む • OWASP Software Component Verification Standard も参考になる A08:2021 – ソフトウェアとデータの整合性の問題 No CWE 数 最大発生率 平均発生率 攻撃難易度 攻撃の影響 最大網羅率 平均網羅率 総発生数 CVE 件数 A08:2021 10 16.67% 2.05% 6.94 7.94 75.04% 45.35% 47,972 1,152 出典: A08:2021 – Software and Data Integrity Failures https://github.com/OWASP/Top10/blob/master/2021/doc s/A08_2021-Software_and_Data_Integrity_Failures.md
  25. 25. 25 A08:2021 – ソフトウェアとデータの整合性の問題に対応する ASVS の検証観点例 ID 検証内容 CWE 1.14.2 信頼できないデバイスにバイナリを展開する場合は、バイナリ署名、 信頼できる接続および検証済みのエンドポイントを使用する。 ダウンロードしたコードの完全 性検証不備 (CWE-494) 5.1.2 フレームワークが大量のパラメータ割り当て攻撃から保護している、 またはフィールドを非公開にするなど安全でないパラメータの代入を 防ぐための対策が行われている。 動的に決定されたオブジェクト 属性の不適切に制御された変更 (CWE-915) 5.3.6 eval 攻撃、リモート JavaScript インクルード、CSP バイパス、DOM XSS、JavaScript の式の評価を含む JavaScript もしくは JSON インジ ェクション攻撃からアプリケーションが保護されている。 信頼できないソースからの Web 機能の読み込み (CWE- 830) 5.3.9 アプリケーションが、リモートファイルインクルード (RFI) やローカ ルファイルインクルード (LFI) の影響を受けない。 信頼できない制御領域からの機 能の組み込み (CWE-829) 5.5.1 シリアライズされたオブジェクトが整合性チェックを使用しているこ と、または悪意のあるオブジェクトの作成やデータの改ざんを防ぐた めに暗号化されている。 信頼できないデータのデシリア ライゼーション (CWE-502) 10.3.2 アプリケーションで、コード署名やサブリソースの完全性などの保護 が使用されている。加えて、信頼できない場所やインターネットから 取得したモジュール、プラグイン、コード、ライブラリなどをロード または実行しない。 完全性チェックの欠如 (CWE- 841)
  26. 26. 26 OWASP CycloneDX • サイバーセキュリティとソフトウェアサプライチェーンの幅広いユースケースで 利用できる BOM (Bill of Materials: 部品表) フォーマット • 本フォーマットを使って SBOM (ソフトウェア BOM) を表現し活用するツールが多数ある { "bomFormat": "CycloneDX", "specVersion": "1.4", "serialNumber": "urn:uuid:3e671687-395b-41f5- a30f-a58921a69b79", "version": 1, "components": [ { "type": "library", "name": "acme-example", "version": "1.0.0", "hashes": [{ "alg": "SHA-256", "content": "d88bc4e70bfb34d18b5542136639acbb26a8ae242 9aa1e47489332fb389cc964" }] } ] } 出典:CycloneDX Specification Overview https://cyclonedx.org/specification/overview/
  27. 27. 27 Summary • OWASP Top 10:2021 のご紹介 • データから見る OWASP Top 10:2021 カテゴリ • OWASP Project のご紹介 • OWASP ASVS • OWASP Cheat Sheet Series • OWASP SAMM • OWASP CycloneDX
  28. 28. 28 ご清聴いただきありがとうございました • 伊藤 彰嗣 Rakuten Mobile CSIRT Promotion Dept. Vice Manager • セキュリティ業界では約 11 年間業務をしています。 • 情報セキュリティマネジメント / インシデントハンドリング • プロダクトセキュリティマネジメント • CISSP / SSCP • 最近のプレゼンテーション Implementing CSIRT based on some frameworks and maturity model (2020/06/07) https://www.slideshare.net/rakutentech/implementing-csirt-based-on-some-frameworks-and-maturity-model OWASP SAMM v2 Introduction (2020/02/08) https://speakerdeck.com/springmoon6/owasp-samm-ver-dot-2-introduction-en
  29. 29. 30 Appendix: OWASP ASVS 4.0.3 における各カテゴリの検証要件数 # Title Lv1 Lv2 Lv3 1 Architecture, Design and Threat Modeling 0 38 39 2 Authentication 27 52 57 3 Session Management 12 18 20 4 Access Control 8 9 9 5 Validation, Sanitization and Encoding 27 30 30 6 Stored Cryptography 1 13 16 7 Error Handling and Logging 3 12 12 8 Data Protection 7 15 17 9 Communication 3 7 8 10 Malicious Code 3 5 10 11 Business Logic 5 8 8 12 Files and Resources 11 15 15 13 API and Web Service 6 13 13 14 Configuration 15 23 24 合計 128 258 278

×