はじめに
先日の記事ではOWASPコミュニティ史上最高の成果物である、重要なインパクトのある10の脆弱性についてまとめた、「OWASP Top10」をご紹介いたしました。OWASPコミュニティは、OWASP Top10に代表されるような、「Webを確かなものに」することに役立つドキュメントを数多く発表しています。加えてOWASPコミュニティの魅力として欠かせないのは、OWASPの各チャプターで開催されているミーティングです。日本でも、これらのドキュメントに関する情報提供や、Webアプリケーションセキュリティに関する最新のトレンドを共有する場としてOWASP Nightというカジュアルなミーティングを2、3か月に1度のペースで、さまざまな企業さまから会場をご提供いただき開催してきました。
直近では、10月19日に、OWASP Japan発足以来19回目のOWASP Nightを日本橋のサイボウズ社で開催しました。なお、当日の様子はYouTubeからもご確認いただけます。
OWASP Night 19thプログラム
OWASP Night 19thのプログラムは以下のとおりで、4つのスピーチが提供されました。
| 順番 | 発表タイトル | 発表者 | 所属 |
|---|---|---|---|
| 1. | 要件定義書プロジェクト近況報告 | 上野 宣 | OWASP Japan Chapter Leader |
| 2. | OWASP Global AppSec USA 2015報告 | 中野渡 敬教 | OWASP Japan Advisory Board |
| 3. | IETFとOSSと私 | 菅野 哲 | PKI48 |
| 4. | OWASPプロジェクトを使ってみた | 伊藤 彰嗣 | サイボウズ |
OWASPコミュニティのドキュメントに関するスピーチにはじまり、OWASPコミュニティの国際カンファレンスのご紹介、標準化団体における活動の共有や、企業におけるOWASPコミュニティの成果物の活用事例の共有など、多岐ジャンルにわたるミーティングとなりました。また、クロージングセッションにおいて、Chapter Leaderの岡田さんからThe OWASP Foundationの年次報告書について紹介がありました。
本記事では、今回のミーティングでのそれぞれのスピーチの内容について、ご紹介したいと思います。
Webアプリケーションセキュリティ要件書プロジェクト近況報告
発表概要
上野さんからは、ミーティング当日にリリースされた「Webシステム/Webアプリケーションセキュリティ要件書 2.0」について紹介いただきました。なお、本要件書が公開されたことは、いくつかのWebメディアにおいても報道されていました。
Webシステム/Webアプリケーションセキュリティ要件書とは
Webアプリケーションのセキュリティ要件は、アプリケーションごとに共通している点が多いことに着目して作られたものです。発注者、開発者、テスト実施者、セキュリティ専門家、消費者など幅広い立場の方にご活用いただくために、2009年に本要件書の1.0版がリリースされました。
今回は大規模に改訂することを目的としてOWASP Japan内においてワーキンググループを発足、約1年の検討期間を経て2.0版に改訂し、有識者のレビューなどを経てこのたびの公開に至りました。
この要件書には、Webシステム/Webアプリケーションにおいて一般的に盛り込むべきと考えられるセキュリティ要件について記載されており、開発言語やフレームワークに特に依存することなく活用できるよう考慮されています。ただし、ネットワークやホストレベル、運用に関するセキュリティ要件については本要件書のスコープには入っていません。
セキュリティ要件仕様項目
本要件書では、大項目として以下の10の要求仕様項目が定められており、全部で37の小項目が定められています。なお要求仕様は、必須要件とあると望ましい要件に分けて記載されています。
- 認証
- 認可(アクセス制御)
- セッション管理
- パラメータ
- 出力処理
- HTTPS
- cookie
- 画面設計
- その他
- 提出物
改訂に伴う変更点
1.0版からの大きな変更点として、特にパスワードに関する仕様への追加や変更が行われるなど、昨今のWebセキュリティの状況を踏まえたものに改訂されました。以下に例を示します。
- 登録可能なパスワード文字列の長さの要件を最低8文字以上にすること、また登録可能なパスワード文字列の長さを127文字以上にすること。パスワードに使用可能な文字として大小英字、数字、記号が利用可能であること。
- CSRF対策を、再認証を主な対策としないような記載に変更。
- CSSを動的に生成しないこと。
- SSL2.0/3.0を無効にすること。
- cookieのHttpOnly属性を必須に変更、Domain属性を指定しないこと。
- クリックジャッキング対策としてレスポンスヘッダーにX-Frame-Optionsを指定すること。
- 管理者がアカウントの有効・無効を設定できること。
- 重要な処理が行われたらログを記録すること。
上野さんは、「本要件書はOWASPの成果物に関するライセンス標準にのっとり、クリエイティブコモンズライセンスが適用されており、自由に、商用でも利用できます。また、原文をGithubで公開したので、さらにご意見をお寄せいただきたいです」と本スポーチを締めくくりました。今後、最近リリースされたASVS3.0(後述)との対応や、他のOWASPプロジェクトとの連携が期待されます。
