株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2017年11月29日 | ラックピープル

OWASP Top 10 - 2017における変更点について

2017年4月にこのLAC WATCHで、OWASP Top 10 2017 RC1を取り上げましたが、OWASP Summit 2017における議論の結果、2017 RC1は却下されました。その後、10月21日(米国時間)に2017 RC2が、11月20日(米国時間)には2017の確定版が公開されましたので、変更点について簡単にご紹介します。

なお、本稿は筆者による仮訳です。
英語版の公開からOWASP Japanによる日本語版の公開まで時間差がありますので、 OWASP Top 10の情報を追いかけているエンジニアのために作成しました。

表現の正確性などについては、OWASP Top 10 - 2017の原文*をご参照ください。

OWASP Top 10 - 2017

OWASP Top 10 - 2017

A1:Injection (インジェクション)
A2:Broken Authentication (認証の不備)
A3:Sensitive Data Exposure (機密データの露出)
A4:XML External Entity (XML外部実態参照)
A5:Broken Access Control (アクセス制御の不備)
A6:Security Misconfiguration (セキュリティ設定のミス)
A7:Cross-Site Scripting (クロスサイトスクリプティング)
A8:Insecure Deserialization (安全でないデシリアライゼーション)
A9:Using Components with Known Vulnerabilities (既知の脆弱性を持つコンポーネントの使用)
A10:Insufficient Logging & Monitoring (不十分なロギングとモニタリング)

OWASP Top 10 - 2013からの変更点

リスクに関する変更点

OWASP Top10 - 2017(Release Note)より

OWASP Top 10 - 2013と比較して、以下のリスクが新たに追加されています。

  1. 2017-A4 (XML External Entity: XML外部実態参照)
    本リスクは、主にSAST(静的アプリケーションセキュリティテスト)のデータセットによって支持されている新しいリスクです。
  2. 2017-A8 (Insecure Deserialization: 安全でないデシリアライゼーション)
    本リスクは、影響を受けるプラットフォーム上でリモートコードの実行や機密オブジェクトの改ざんにつながる可能性があるため追加されました。
  3. 2017-A10 (Insufficient Logging & Monitoring: 不十分なロギングとモニタリング)
    本リスクは、悪意ある活動や違反の検知、インシデント対応、デジタルフォレンジックを阻んだり著しく遅延させたりする可能性があるため追加されました。

OWASP Top 10 - 2013と比較して、以下のリスクが統合・削除されています。

  1. 2013-A4 (Insecure Direct Object References: 安全でないオブジェクト直接参照)、2013-A7 (Missing Function Level Access Control: 機能レベルアクセス制御の欠落)を統合
    本リスクはもともと、OWASP Top 10 - 2004では1つのリスク(Broken Access Control:アクセス制御の不備)だったものが、OWASP Top 10 - 2007で2つに分割されたものです。OWASP Top 10 - 2017では、再びA5 (Broken Access Control: アクセス制御の不備)として統合されました。
  2. 2013-A8 (Cross-Site Request Forgery: クロスサイトリクエストフォージェリ)を削除
    一般的に、フレームワークは本リスクの防御を含んでおり、本リスクが存在するアプリは5%未満で、順位も13位であったためTop10から削除されました。
  3. 2013-A10 (Unvalidated Redirects and Forwards: 未検証のリダイレクトとフォワード)を削除
    本リスクが存在するデータセットは1%未満で、順位も25位であったためTop10から削除されました。

リスク要因に関する変更点

OWASP Top10 - 2013

OWASP Top10 - 2013(リスク因子に関する詳細)より

OWASP Top10 - 2017

OWASP Top10 - 2017(Details About Risk Factors)より

変更点のまとめ

OWASP Top 10 - 2013からの変更点のまとめは以下の通りです。なお、A4、A5、A8、A10はリスクそのものが変わっているため、以下に含めていません。

- A1 - インジェクション:検出難易度が「普通」から「容易」に変更
- A2 - 認証:悪用難易度が「普通」から「容易」に変更、また普及度が「高」から「中」に変更
- A3 - 機密データ:悪用難易度が「困難」から「普通」に変更、また普及度が「低」から「高」に変更
- A6 - 設定ミス:普及度が「中」から「高」に変更
- A7 - XSS:攻撃難易度が「普通」から「容易」に変更、普及度が「極高」から「高」に変更
- A9 - コンポーネント:検出難易度が「困難」から「普通」に変更

OWASP Top 10 - 2017 RC1からの変更点

リスクに関する変更点

OWASP Top 10 - 2017 RC1   OWASP Top 10 - 2017
A1 - Injection A1 - Injection
A2 - Broken Authentication and Session Management A2 - Broken Authentication
A3 - Cross-Site Scripting (XSS) A3 - Sensitive Data Exposure
A4 - Broken Access Control A4 - XML External Entity (XXE) [NEW]
A5 - Security Misconfiguration A5 - Broken Access Control
A6 - Sensitive Data Exposure A6 - Security Misconfiguration
A7 - Insufficient Attack Protection × A7 - Cross-Site Scripting (XSS)
A8 - Cross-Site Request Forgery (CSRF) × A8 - Insecure Deserialization [NEW]
A9 - Using Components with Known Vulnerabilities A9 - Using Components with Known Vulnerabilities
A10 - Underprotected APIs × A10 - Insufficient Logging & Monitoring [NEW]

OWASP Top 10 - 2017 RC1と比較して、以下のリスクが新たに追加されています。

  1. 2017-A4 (XML External Entity: XML外部実態参照)
  2. 2017-A8 (Insecure Deserialization: 安全でないデシリアライゼーション)
  3. 2017-A10 (Insufficient Logging & Monitoring: 不十分なロギングとモニタリング)

OWASP Top 10 - 2017 RC1と比較して、以下のリスクが削除されています。

  1. 2017(RC1) - A7 (Insufficient Attack Protection: 不十分な攻撃保護)
  2. 2017(RC1) - A8 (Cross-Site Request Forgery: クロスサイトリクエストフォージェリ)
  3. 2017(RC1) - A10 (Underprotected APIs: 保護されていないAPI)

リスク要因に関する変更点

OWASP Top10 - 2017 RC1

OWASP Top10 - 2017 RC1(Details About Risk Factors)より

OWASP Top10 - 2017

OWASP Top10 - 2017 RC2(Details About Risk Factors)より

変更点のまとめ

OWASP Top 10 - 2013からの変更点のまとめは以下の通りです。なお、A4、A8、A10はリスクそのものが変わっているため、以下に含めていません。

- A1 - インジェクション:検出難易度が「普通」から「容易」に変更
- A2 - 認証:悪用難易度が「普通」から「容易」に変更
- A3 - 機密データ:悪用難易度が「困難」から「普通」に変更、また普及度が「低」から「高」に変更
- A5 - アクセス制御:悪用難易度が「容易」から「普通」に変更、また普及度が「高」から「中」に変更、検出難易度が「容易」から「普通」に変更、技術的影響が「中程度」から「深刻」に変更
- A6 - 設定ミス:普及度が「中」から「高」に変更
- A7 - XSS:攻撃難易度が「普通」から「容易」に変更、普及度が「極高」から「高」に変更、検出難易度が「普通」から「容易」に変更
- A9 - コンポーネント:普及度が「中」から「高」に変更

OWASP Top 10 - 2017 RC2からの変更点

リスクに関する変更点

OWASP Top 10 - 2017 RC2   OWASP Top 10 - 2017
A1 - Injection A1 - Injection
A2 - Broken Authentication and Session Management A2 - Broken Authentication
A3 - Sensitive Data Exposure A3 - Sensitive Data Exposure
A4 - XML External Entity (XXE) A4 - XML External Entity (XXE)
A5 - Broken Access Control A5 - Broken Access Control
A6 - Security Misconfiguration A6 - Security Misconfiguration
A7 - Cross-Site Scripting (XSS) A7 - Cross-Site Scripting (XSS)
A8 - Insecure Deserialization A8 - Insecure Deserialization
A9 - Using Components with Known Vulnerabilities A9 - Using Components with Known Vulnerabilities
A10 - Insufficient Logging & Monitoring A10 - Insufficient Logging & Monitoring

OWASP Top 10 - 2017 RC2と比較して、新たに追加されたリスクや削除されたリスクは存在しません。

リスク要因に関する変更点

OWASP Top10 - 2017 RC2

OWASP Top10 - 2017 RC2(Details About Risk Factors)より

OWASP Top10 - 2017

OWASP Top10 - 2017(Details About Risk Factors)より

リスク要因に関しても、OWASP Top 10 - 2017 RC2からは、変更されていません。

おわりに

以上、OWASP Top 10 - 2017と、それまでのTop10 - 2013やTop 10 - 2017 RC1、Top 10 - 2017 RC2との比較について説明しました。次回はTop 10 - 2013と比較して、Top 10 - 2017で新規追加、統合されたリスク(A4、A5、A8、A10)について紹介します。

この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top