セキュリティリスクへの理解を深めるOWASP Top10
システムのセキュリティリスクへの理解を深めるにはどうしたらいいのか。岡田氏は、OWASP(Open Worldwide Application Security Project)Top10を紹介した。
OWASPとはソフトウェアセキュリティの関係者による世界的なコミュニティで、なかでもOWASP Top10は世界中の事例をもとに、とくに重要なWebアプリケーションのセキュリティリスクを10個をリストしたものとなっている。
このうち、A10の「サーバーサイドリクエストフォージェリ(SSRF)」とは「ある呪文を入力値として投げると、サーバー内部の情報を返してしまうという脆弱性」で、ここを塞いでおかなければ、意図せぬ情報が流出してしまう。
これらへの対策として岡田氏は、OWASP Proactive Controlsと、OWASP ASVS(Application Security Verification Standard)を紹介した。前者はセキュアなシステムを構築するための指針であり、後者はWebアプリケーションをセキュアに維持するための検証標準だ。これらをチェックリストとして活用することで、多様化する攻撃手段に対抗するための基礎が整う。
