スマホアプリ開発者必読！ OWASP Mobile Top 10 2016 の日本語訳を公開

インスペクター（セキュリティ診断員）

メルマガ登録する

メルマガ登録する

ラックの有志6名で OWASP Mobile Top 10 2016 の日本語訳^＊1を作成し、このほどGitHubで公開しました。

GitHub - LAC-Japan/OWASP-Mobile-Top-10-2016: OWASP Mobile Top 10 2016 日本語訳

OWASP Mobile Top 10 は、ざっくり言うと「OWASP Top 10 のモバイルアプリケーション版」です。モバイルアプリケーションの開発を行う上で気を付けておくべきセキュリティ上の脅威と対策についてまとめたドキュメントです。

ラックでは、スマートフォンをはじめとしたスマートデバイスで動作するアプリケーションのセキュリティ診断を実施しています^＊2。スマートフォンアプリケーションの開発においては、Webアプリケーションとは異なる脅威と対策が必要です。しかし、当社が診断したスマートフォンアプリケーションには、多数の脆弱性が発見されているのが現状です（『セキュリティ診断レポート 2018 早春』^＊3を参照）。

そこで、スマートフォンアプリケーションの開発を行う企業やエンジニアの参考になればと考え、OWASP Mobile Top 10 の翻訳に今回初めて着手しました。

OWASPとは

OWASP Top 10 や OWASP Mobile Top 10 を発表している「OWASP」^＊4は、正式名称を「Open Web Application Security Project」といい、安全なソフトウェアの設計・開発・習得・運用と維持に関する活動を支援する非営利の団体です。 OWASPのツールやドキュメントなど、すべての成果物は無料で利用できます。

OWASP Mobile Top 10 とは

OWASP Mobile Top 10 は、モバイルアプリケーションを開発する際に注意しておくべきセキュリティについて列挙したものです。 OWASP Top 10 と同様、最も一般的かつ最も重要な弱点の影響とその対策の方向性について、開発者等に理解を深めてもらうことを目的としています。OWASP Mobile Top 10 2016 は2017年2月にリリースされました。以下の項目がモバイルアプリケーションを開発する際に気を付けておくべきこととしてリストアップされています。

OWASP Mobile Top 10 2016 でリストアップされたリスクの一覧

M1 ： Improper Platform Usage（プラットフォームの不適切な利用）
M2 ： Insecure Data Storage（安全でないデータストレージ）
M3 ： Insecure Communication（安全でない通信）
M4 ： Insecure Authentication（安全でない認証）
M5 ： Insufficient Cryptography（不十分な暗号化）
M6 ： Insecure Authorization（安全でない認可制御）
M7 ： Client Code Quality（クライアントコードの品質）
M8 ： Code Tampering（コード改ざん）
M9 ： Reverse Engineering（リバースエンジニアリング）
M10 ： Extraneous Functionality（余計な機能）

詳細については OWASP Mobile Top 10 2016 日本語訳^＊1を参照してください。

OWASP Mobile Top 10 2014 と 2016 の比較

参考までに、OWASP Mobile Top 10 の2014年版と2016年版の違いも一覧にしました。モバイルアプリケーション開発を行うに当たって注意すべきセキュリティ上のリスク上位10項目のうち、9項目で入れ替わっていることが分かります。

Top 10	2014年版	2016年版
M1	Weak Server Side Controls 脆弱なサーバ側の管理	Improper Platform Usage プラットフォームの不適切な利用
M2	Insecure Data Storage 安全でないデータストレージ	Insecure Data Storage 安全でないデータストレージ
M3	Insufficient Transport Layer Protection 不十分なトランスポート層の保護	Insecure Communication 安全でない通信
M4	Unintended Data Leakage 意図しないデータ漏えい	Insecure Authentication 安全でない認証
M5	Poor Authorization and Authentication 脆弱な認可と認証	Insufficient Cryptography 不十分な暗号化
M6	Broken Cryptography 暗号手法の不備	Insecure Authorization 安全でない認可制御
M7	Client Side Injection クライアントサイドインジェクション	Client Code Quality クライアントコードの品質
M8	Security Decisions Via Untrusted Inputs 信頼できない入力によるセキュリティ決定	Code Tampering コード改ざん
M9	Improper Session Handling 不適切なセッションハンドリング	Reverse Engineering リバースエンジニアリング
M10	Lack of Binary Protections バイナリ保護の不足	Extraneous Functionality 余計な機能

おわりに

翻訳作業に取り掛かったのは2017年夏ごろです。スマートフォンアプリケーション診断を担当するシステムアセスメント部のメンバーが中心となり、これにシステム開発担当のエンタープライズシステム部メンバーも途中から加わって、業務の合間を縫って進めてきました。原文の意味合いが正しく伝わるよう工夫しながら、日本語訳のブラッシュアップを重ね、公開に至りました。

今回の翻訳作業は、GitHub上に作業用リポジトリを作成し、各メンバーが翻訳した箇所をプルリクエストして、マージしていくといった流れで進めました。また、進行中のコミュニケーションにはチャットワークを使いました。GitHubやチャットワークは、こういったドキュメント作業でも、チームで共同編集するのに便利だと実感しました。同じ会社の所属とはいえ、翻訳メンバーとは一部を除きオンラインでしか面識がありませんので、打ち上げで会うのが楽しみです！

この OWASP Mobile Top 10 2016 の日本語訳を一人でも多くの開発者に読んでいただき、スマホアプリ開発のセキュリティを考える一助としていただければと思います。

この記事をシェアする

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

この記事は役に立ちましたか？

はいいいえ