継続可能なSDLCを実現するには
セキュアなウェブアプリケーションを実装していただく上で参考となるフリーでオープンな成果物がOWASPコミュニティには存在します。OWASP Top 10では、その中でも特に開発者に参考にしていただきたい成果物を紹介しています。
ウェブアプリケーションセキュリティ要件を学ぶ
OWASPコミュニティはウェブアプリケーションのセキュリティ要件を設定する際のガイドとしてOWASP Application Security Verification Standard(ASVS)を活用いただくことを推奨しています。OWASP ASVSの詳細は、ウェブアプリケーションセキュリティ検査・検証の標準化でご確認いただけます。
ウェブアプリケーションセキュリティアーキテクチャを学ぶ
開発初期段階からセキュリティを設計に組み込む方が、運用・保守段階でセキュリティ対策をするよりもコスト効率は高いと言われています。はじめにセキュリティを設計する際には、OWASP Developer's GuideとOWASP Cheat Sheet Seriesをご活用いただけます。なお、OWASP Cheat Sheet Seriesは48のチートシート群で構成されており、すべてが英語で表記されています。そこで、まずはOWASP Cheat Sheet Series概要~日本語版~を参照いただくことで、各チートシートに記載されている内容の概要を効率的に把握することができます。
標準的なセキュリティ制御を学ぶ
OWASPコミュニティはセキュアなウェブアプリケーションを作成するためのセキュリティAPIのモデルとして、OWASP Enterprise Security API (ESAPI) projectを推奨しています。ESAPIは、Java、.NET、PHP、Classic ASP、Python、Cold Fusionにおける実装のためのリファレンスを提供しています。
セキュアなSDLCを学ぶ
セキュアなウェブアプリケーションを構築する際に、組織が従うべきプロセスを改善するために、OWASPはOWASP Software Assurance Maturiy Model(SAMM)の活用を推奨しています。
ウェブアプリケーションセキュリティ教育を学ぶ
OWASP Education Projectは、ウェブアプリケーションセキュリティに関する開発者向け教育素材です。また、OWASP WebGoat、OWASP Broken Web Applications Projectにより実践的に脆弱性を学ぶことができます。
まとめ
今回は、重要なインパクトのある10の脆弱性についてまとめたOWASP Top 10についてご紹介いたしました。これはウェブに携わるすべての方の共通言語として使っていただきたいものです。これにより、ウェブ・セキュリティ問題についての重要な情報を、効率よく、かつ効果的に学ぶことができるため、これからセキュリティに関する勉強を始める方にうってつけです。
次回は、今回ご紹介した10の脆弱性を作りこまないようにする方法についてまとめたOWASP Proactive Controlsを題材とし、「事前対策によりセキュアなウェブアプリケーションを実装する方法」についてご紹介します。次回もお楽しみに!
参考資料
- OWASP Top 10
- OWASP Application Security Verification Standard(ASVS)
- ウェブアプリケーションセキュリティ検査・検証の標準化
- OWASP Developer's Guide
- OWASP Cheat Sheet Series
- OWASP Cheat Sheet Series概要~日本語版~
- OWASP Enterprise Security API (ESAPI) project
- OWASP Software Assurance Maturiy Model(SAMM)
- OWASP Education Project
- OWASP WebGoat
- OWASP Broken Web Applications Project