CodeZine(コードジン)

特集ページ一覧

Web開発者がおさえておきたい10のセキュリティ技術
~カギは事前の対策にあり OWASP Proactive Controls

OWASPでビルトイン・セキュリティ 第2回

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2015/12/03 14:00

目次

OWASPコミュニティの他のドキュメントとの関連

OWASP Top 10との関連

 OWASP Top 10 Proactive Controlsでは、OWASP Top 10で紹介している脆弱性と、OWASP Top 10 Proactive Controls で示す対策を対応づけ、それぞれの対応関係を星取り表の形式で整理しています。この表を参考にしつつ、OWASP Top 10で定義している10の脆弱性に対して、ソフトウェア構築時に展開すべき事前対策を認識でき、効率的に対策を打つことができます。

図2:OWASP Top 10の脆弱性とOWASP Top 10 Proactive Controlsの対策の関連性
図2:OWASP Top 10の脆弱性とOWASP Top 10 Proactive Controlsの対策の関連性

OWASP Cheat Sheet Seriesとの関連

 OWASP Top 10 Proactive Controlsは、OWASP Cheat Sheet Seriesの内、主に以下に示すCheat Sheetを参考に作られており、リファレンスとして掲載されています。

表3:OWASP Cheat Sheet SeriesとOWASP Top 10 Proactive Controlsの対応
項番 対策 対応するCheat Sheet
C1 クエリのパラメータ化 クエリパラメータに関するチートシート
SQLインジェクション対策に関するチートシート
C2 エンコード処理 XSS対策に関するチートシート
C3 入力値検証 ホワイトリストによる入力値バリデーションチェックに関するチートシート
C4 適切なアクセス制御 アクセス制御に関するチートシート
C5 アイデンティティおよび認証制御 Webアプリの認証に関するチートシート
パスワードなどの保持に関するチートシート
ユーザーがパスワードを忘れた場合の措置に関するチートシート
セッション管理などに関するチートシート
C6 データおよびプライバシー保護 保存データの暗号化に関するチートシート
パスワードなどの保持に関するチートシート
C7 ロギング、エラーハンドリング、侵入検知 Webアプリにおけるログの取得などに関するチートシート
C8 フレームワークやライブラリの活用 PHPにおけるセキュリティ対策に関するチートシート
.NETフレームワークにおけるセキュリティ対策に関するチートシート
C9 より具体的なセキュリティ要件の考慮(※1 ビジネスロジックの脆弱性対策に関するチートシート
C10 セキュリティ設計の把握(※1 アプリケーションセキュリティ設計およびレビューに関するチートシート
Webアプリへの攻撃に対する表層分析に関するチートシート

 本記事公開時点でOWASP Cheat Sheet Seriesは、各Cheat Sheetのタイトルと概要が日本語化(参考:OWASP Japanブログ)されています。OWASP Top 10 Proactive Controlsと併せて興味関心のあるCheat Sheetを参照することで、特に開発時に考慮したいセキュリティの考え方に対する理解が一層深まります。

※1

 開発工程よりも上流工程である要件や設計に関する内容を含むため、要件や設計について記載されているOWASP ASVSや、組織におけるセキュリティ対策の成熟度を測る指標について記載されているOpenSAMMも併せて参照ください。


  • LINEで送る
  • このエントリーをはてなブックマークに追加

バックナンバー

連載:OWASPでビルトイン・セキュリティ

もっと読む

著者プロフィール

  • 仲田 翔一(OWASP Japan)(ナカタ ショウイチ)

    OWASP Japan Promotion Team Leaderであり、開発者とセキュリティに携わる者の間にある溝を埋めるための活動に尽力している。本業では主にITやセキュリティを中心としたコンサルティング業務に携わる。OWASPコミュニティとの関わりは、セキュリティエンジニア時代のOWASP勉強...

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5