株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2018年03月15日 | ラックピープル

スマホアプリ開発者必読! OWASP Mobile Top 10 2016 の日本語訳を公開

ラックの有志6名で OWASP Mobile Top 10 2016 の日本語訳*1 を作成し、このほどGitHubで公開しました。

GitHub - LAC-Japan/OWASP-Mobile-Top-10-2016: OWASP Mobile Top 10 2016 日本語訳

OWASP Mobile Top 10 は、ざっくり言うと「OWASP Top 10 のモバイルアプリケーション版」です。モバイルアプリケーションの開発を行う上で気を付けておくべきセキュリティ上の脅威と対策についてまとめたドキュメントです。

ラックでは、スマートフォンをはじめとしたスマートデバイスで動作するアプリケーションのセキュリティ診断を実施しています*2 。スマートフォンアプリケーションの開発においては、Webアプリケーションとは異なる脅威と対策が必要です。しかし、当社が診断したスマートフォンアプリケーションには、多数の脆弱性が発見されているのが現状です(『セキュリティ診断レポート 2018 早春』*3 を参照)。

そこで、スマートフォンアプリケーションの開発を行う企業やエンジニアの参考になればと考え、OWASP Mobile Top 10 の翻訳に今回初めて着手しました。

OWASPとは

OWASP Top 10 や OWASP Mobile Top 10 を発表している「OWASP」*4 は、正式名称を「Open Web Application Security Project」といい、安全なソフトウェアの設計・開発・習得・運用と維持に関する活動を支援する非営利の団体です。 OWASPのツールやドキュメントなど、すべての成果物は無料で利用できます。

OWASP Mobile Top 10 とは

OWASP Mobile Top 10 は、モバイルアプリケーションを開発する際に注意しておくべきセキュリティについて列挙したものです。 OWASP Top 10 と同様、最も一般的かつ最も重要な弱点の影響とその対策の方向性について、開発者等に理解を深めてもらうことを目的としています。OWASP Mobile Top 10 2016 は2017年2月にリリースされました。以下の項目がモバイルアプリケーションを開発する際に気を付けておくべきこととしてリストアップされています。

OWASP Mobile Top 10 2016 でリストアップされたリスクの一覧

  • M1 : Improper Platform Usage(プラットフォームの不適切な利用)
  • M2 : Insecure Data Storage(安全でないデータストレージ)
  • M3 : Insecure Communication(安全でない通信)
  • M4 : Insecure Authentication(安全でない認証)
  • M5 : Insufficient Cryptography(不十分な暗号化)
  • M6 : Insecure Authorization(安全でない認可制御)
  • M7 : Client Code Quality(クライアントコードの品質)
  • M8 : Code Tampering(コード改ざん)
  • M9 : Reverse Engineering(リバースエンジニアリング)
  • M10 : Extraneous Functionality(余計な機能)

詳細については OWASP Mobile Top 10 2016 日本語訳*1 を参照してください。

OWASP Mobile Top 10 2014 と 2016 の比較

参考までに、OWASP Mobile Top 10 の2014年版と2016年版の違いも一覧にしました。モバイルアプリケーション開発を行うに当たって注意すべきセキュリティ上のリスク上位10項目のうち、9項目で入れ替わっていることが分かります。

Top 10 2014年版 2016年版
M1 Weak Server Side Controls
脆弱なサーバ側の管理
Improper Platform Usage
プラットフォームの不適切な利用
M2 Insecure Data Storage
安全でないデータストレージ
Insecure Data Storage
安全でないデータストレージ
M3 Insufficient Transport Layer Protection
不十分なトランスポート層の保護
Insecure Communication
安全でない通信
M4 Unintended Data Leakage
意図しないデータ漏えい
Insecure Authentication
安全でない認証
M5 Poor Authorization and Authentication
脆弱な認可と認証
Insufficient Cryptography
不十分な暗号化
M6 Broken Cryptography
暗号手法の不備
Insecure Authorization
安全でない認可制御
M7 Client Side Injection
クライアントサイドインジェクション
Client Code Quality
クライアントコードの品質
M8 Security Decisions Via Untrusted Inputs
信頼できない入力によるセキュリティ決定
Code Tampering
コード改ざん
M9 Improper Session Handling
不適切なセッションハンドリング
Reverse Engineering
リバースエンジニアリング
M10 Lack of Binary Protections
バイナリ保護の不足
Extraneous Functionality
余計な機能

おわりに

翻訳作業に取り掛かったのは2017年夏ごろです。スマートフォンアプリケーション診断を担当するシステムアセスメント部のメンバーが中心となり、これにシステム開発担当のエンタープライズシステム部メンバーも途中から加わって、業務の合間を縫って進めてきました。原文の意味合いが正しく伝わるよう工夫しながら、日本語訳のブラッシュアップを重ね、公開に至りました。

今回の翻訳作業は、GitHub上に作業用リポジトリを作成し、各メンバーが翻訳した箇所をプルリクエストして、マージしていくといった流れで進めました。また、進行中のコミュニケーションにはチャットワークを使いました。GitHubやチャットワークは、こういったドキュメント作業でも、チームで共同編集するのに便利だと実感しました。同じ会社の所属とはいえ、翻訳メンバーとは一部を除きオンラインでしか面識がありませんので、打ち上げで会うのが楽しみです!

この OWASP Mobile Top 10 2016 の日本語訳を一人でも多くの開発者に読んでいただき、スマホアプリ開発のセキュリティを考える一助としていただければと思います。


この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top