OWASP Top 10 - 2017における変更点について

2017年4月にこのLAC WATCHで、OWASP Top 10 2017 RC1を取り上げましたが、OWASP Summit 2017における議論の結果、2017 RC1は却下されました。その後、10月21日(米国時間)に2017 RC2が、11月20日(米国時間)には2017の確定版が公開されましたので、変更点について簡単にご紹介します。

なお、本稿は筆者による仮訳です。
英語版の公開からOWASP Japanによる日本語版の公開まで時間差がありますので、 OWASP Top 10の情報を追いかけているエンジニアのために作成しました。

表現の正確性などについては、OWASP Top 10 - 2017の原文^*をご参照ください。

OWASP Top 10 - 2017

A1：Injection（インジェクション）
A2：Broken Authentication（認証の不備）
A3：Sensitive Data Exposure（機密データの露出）
A4：XML External Entity（XML外部実態参照）
A5：Broken Access Control（アクセス制御の不備）
A6：Security Misconfiguration（セキュリティ設定のミス）
A7：Cross-Site Scripting（クロスサイトスクリプティング）
A8：Insecure Deserialization（安全でないデシリアライゼーション）
A9：Using Components with Known Vulnerabilities（既知の脆弱性を持つコンポーネントの使用）
A10：Insufficient Logging & Monitoring（不十分なロギングとモニタリング）

OWASP Top 10 - 2013からの変更点

リスクに関する変更点

OWASP Top 10 - 2013と比較して、以下のリスクが新たに追加されています。

1. 2017-A4（XML External Entity: XML外部実態参照）
   本リスクは、主にSAST（静的アプリケーションセキュリティテスト）のデータセットによって支持されている新しいリスクです。
2. 2017-A8（Insecure Deserialization: 安全でないデシリアライゼーション）
   本リスクは、影響を受けるプラットフォーム上でリモートコードの実行や機密オブジェクトの改ざんにつながる可能性があるため追加されました。
3. 2017-A10（Insufficient Logging & Monitoring: 不十分なロギングとモニタリング）
   本リスクは、悪意ある活動や違反の検知、インシデント対応、デジタルフォレンジックを阻んだり著しく遅延させたりする可能性があるため追加されました。

OWASP Top 10 - 2013と比較して、以下のリスクが統合・削除されています。

1. 2013-A4（Insecure Direct Object References: 安全でないオブジェクト直接参照）、2013-A7（Missing Function Level Access Control: 機能レベルアクセス制御の欠落）を統合
   本リスクはもともと、OWASP Top 10 - 2004では1つのリスク（Broken Access Control：アクセス制御の不備）だったものが、OWASP Top 10 - 2007で2つに分割されたものです。OWASP Top 10 - 2017では、再びA5（Broken Access Control: アクセス制御の不備）として統合されました。
2. 2013-A8（Cross-Site Request Forgery: クロスサイトリクエストフォージェリ）を削除
   一般的に、フレームワークは本リスクの防御を含んでおり、本リスクが存在するアプリは5%未満で、順位も13位であったためTop10から削除されました。
3. 2013-A10（Unvalidated Redirects and Forwards: 未検証のリダイレクトとフォワード）を削除
   本リスクが存在するデータセットは1%未満で、順位も25位であったためTop10から削除されました。

リスク要因に関する変更点

OWASP Top10 - 2013

OWASP Top10 - 2017

変更点のまとめ

OWASP Top 10 - 2013からの変更点のまとめは以下の通りです。なお、A4、A5、A8、A10はリスクそのものが変わっているため、以下に含めていません。

- A1 - インジェクション：検出難易度が「普通」から「容易」に変更
- A2 - 認証：悪用難易度が「普通」から「容易」に変更、また普及度が「高」から「中」に変更
- A3 - 機密データ：悪用難易度が「困難」から「普通」に変更、また普及度が「低」から「高」に変更
- A6 - 設定ミス：普及度が「中」から「高」に変更
- A7 - XSS：攻撃難易度が「普通」から「容易」に変更、普及度が「極高」から「高」に変更
- A9 - コンポーネント：検出難易度が「困難」から「普通」に変更

OWASP Top 10 - 2017 RC1からの変更点

リスクに関する変更点

OWASP Top 10 - 2017 RC1と比較して、以下のリスクが新たに追加されています。

1. 2017-A4 （XML External Entity: XML外部実態参照）
2. 2017-A8 （Insecure Deserialization: 安全でないデシリアライゼーション）
3. 2017-A10（Insufficient Logging & Monitoring: 不十分なロギングとモニタリング）

OWASP Top 10 - 2017 RC1と比較して、以下のリスクが削除されています。

1. 2017(RC1) - A7 （Insufficient Attack Protection: 不十分な攻撃保護）
2. 2017(RC1) - A8 （Cross-Site Request Forgery: クロスサイトリクエストフォージェリ）
3. 2017(RC1) - A10（Underprotected APIs: 保護されていないAPI）

リスク要因に関する変更点

OWASP Top10 - 2017 RC1

OWASP Top10 - 2017

変更点のまとめ

OWASP Top 10 - 2013からの変更点のまとめは以下の通りです。なお、A4、A8、A10はリスクそのものが変わっているため、以下に含めていません。

- A1 - インジェクション：検出難易度が「普通」から「容易」に変更
- A2 - 認証：悪用難易度が「普通」から「容易」に変更
- A3 - 機密データ：悪用難易度が「困難」から「普通」に変更、また普及度が「低」から「高」に変更
- A5 - アクセス制御：悪用難易度が「容易」から「普通」に変更、また普及度が「高」から「中」に変更、検出難易度が「容易」から「普通」に変更、技術的影響が「中程度」から「深刻」に変更
- A6 - 設定ミス：普及度が「中」から「高」に変更
- A7 - XSS：攻撃難易度が「普通」から「容易」に変更、普及度が「極高」から「高」に変更、検出難易度が「普通」から「容易」に変更
- A9 - コンポーネント：普及度が「中」から「高」に変更

OWASP Top 10 - 2017 RC2からの変更点

リスクに関する変更点

OWASP Top 10 - 2017 RC2と比較して、新たに追加されたリスクや削除されたリスクは存在しません。

リスク要因に関する変更点

OWASP Top10 - 2017 RC2

OWASP Top10 - 2017

リスク要因に関しても、OWASP Top 10 - 2017 RC2からは、変更されていません。

おわりに

以上、OWASP Top 10 - 2017と、それまでのTop10 - 2013やTop 10 - 2017 RC1、Top 10 - 2017 RC2との比較について説明しました。次回はTop 10 - 2013と比較して、Top 10 - 2017で新規追加、統合されたリスク（A4、A5、A8、A10）について紹介します。

次回記事はこちら：

---

• *Category:OWASP Top Ten Project - OWASP