OWASP Japan Blog 〜I can blog a little〜

OWASP Top 10に代表される日本語化された成果物と比較すると、日本語化されていないOWASPの成果物は馴染みづらい印象を受けるとともにその利用を躊躇しているといったご意見を何度かいただいています。

とはいえ日本語化されていない成果物の中にも有用な成果物は数多く存在し、その中でもOWASP Cheat Sheet Seriesはセキュリティを専任とする方をはじめ、開発者、設計者、マネジャー、利用者など、どの立場の方にとっても有用な情報が詰まっています。それゆえに、最もご活用いただきたい成果物であると言っても過言ではありません。

OWASP Japan Promotion Teamは、みなさんがOWASP Cheat Sheet Seriesをご利用いただく際に生じる敷居を下げることを目的として、各チートシートのタイトルを日本語訳するとともに、その概要を纏めるプロジェクトを立ち上げ、その成果を本記事で公開することといたしました。

本記事投稿時点（2015/10/03）でOWASP Cheat Sheet Seriesは48のチートシートで構成されており、以下の分類がなされています。

• Builder向けのチートシート
  
• Breaker向けのチートシート
• Defender向けのチートシート
  
• モバイルに関するチートシート
• ドラフト版のチートシート

OWASP Cheat Sheet Series概要〜日本語版〜は、OWASP Cheat Sheet Series上にある所望の情報のありかを効率よく探すことができるリファレンスとしてご活用いただけるものと考えています。

なお、同内容はGoogleスプレッドシートにもアップしておりますので適宜ご参照ください。

Builder向けのチートシート

Webアプリの認証に関するチートシート

Webアプリにおける認証機能の設計時に留意すべき事項（例：パスワードの複雑性、パスワードのセキュアな送信方法、多要素認証の適用など）について紹介している。（最新更新日：2015/08/11）

ユーザがパスワードを忘れた場合の措置としての秘密の質問の実装に関するチートシート

秘密の質問を用いてパスワードを忘れた場合の機能を実装するためのベストプラクティスについて紹介している。（最新更新日：2015/07/18）

クリックジャッキング対策に関するチートシート

クリックジャッキングの脆弱性への対策として、①X-Frame-Optionsヘッダーの利用②フレームブレーキングスクリプトの実装について紹介している。（最新更新日：2015/02/11）

C、C++、Objective-C言語における開発環境に関するチートシート

C、C++、Objective-C言語における開発環境において、信頼性の高い安全なコードを提供するために考慮しなければならないことを紹介している。より踏み込んだ内容については、C-Based Toolchain Hardening（https://www.owasp.org/index.php/C-Based_Toolchain_Hardening）を参照とのこと。（最新更新日：2015/07/18）

CSRF対策に関するチートシート

CSRFの脆弱性への対策として、トークンを利用する対策について紹介するとともに、リファラーヘッダまたはオリジンヘッダを確認するといった補足的な対策を紹介している。また、ウェブアプリ利用後にはログオフするなどユーザができる対策についても紹介している。（最新更新日：2015/07/18）

保存データの暗号化に関するチートシート

クレジットカード情報などの機密性の高いデータを保存する際に考慮すべきルールについて概念レベルで簡単に紹介している。（最新更新日：2015/09/04）

DOMベースのXSS対策に関するチートシート

XSSの脆弱性は①反射型②持続型③DOMベースの3パターンに大別されるが、本チートシートにおいては、XSS対策に関するチートシート（https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet）では言及されていない③DOMベースのXSSの脆弱性への対策手法について紹介している。（最新更新日：2015/07/27）

ユーザーがパスワードを忘れた場合の措置に関するチートシート

ユーザーがパスワードをわすれた場合の措置として、Webアプリケーションにはパスワードリセットの機能を実装する必要がある。本チートシートでは、セキュアな方法でパスワードリセット機能を実装する方法について紹介している。（最新更新日：2015/09/15）

HTML5におけるセキュリティ対策に関するチートシート

HTML5で新たに追加された機能に対してセキュリティ面で注意しなければならないポイントや新たに追加されたセキュリティを高める機能などを紹介している。 （最新更新日：2015/09/09）

ホワイトリストによる入力値バリデーションチェックに関するチートシート

Webアプリのセキュリティ機能として、入力値に対するバリデーションチェックがある。本チートシートでは、ホワイトリストによるバリデーションチェックを用いて郵便番号を検証する事例を紹介している。（最新更新日：2015/07/18）

JAAS認証に関するチートシート

JAAS（Java Authentication and Authorization Services）認証の概要とLoginModule及びCallbackHandlerについて紹介している。（最新更新日：2015/07/18）

Webアプリにおけるログの取得などに関するチートシート

Webアプリにおける特にセキュリティに関するアプリケーションログについて、具体的にどういったイベントのログを取得すべきか、取得すべき内容は何かなどを紹介している。合わせて、ログの取得に関して設計から運用時まで各工程において考慮すべき点について紹介している。（最新更新日：2015/07/18）

.NETフレームワークにおけるセキュリティ対策に関するチートシート

.NETフレームワークを用いて開発を行う際に考慮したいセキュリティの観点について紹介している。（最新更新日：2015/03/29）

OWASP Top Ten 2013における10の脅威への対策及びテスト手法に関するチートシート

OWASP Top Ten 2013における10の脅威への対策方法及び当該対策が適切に講じられているかを確認するためのテスト手法（詳細はリンク先のOWASP Testing guideを参照。）について紹介している。（最新更新日：2015/08/24）

パスワードなどの保持に関するチートシート

パスワード、秘密の質問やこれらに類する重要情報はSQLインジェクション攻撃やログ、ダンプ、バックアップデータの盗難などより、漏洩してしまう可能性がある。そこで、本チートシートでは、これら重要情報を適切に保持し、漏洩リスクを低減する方法について紹介している。（最新更新日：2015/07/18）

公開鍵ピンニングに関するチートシート

証明書や公開鍵のピンニングについて説明するとともに、Android、iOS、.Net、OpenSSLにおけるピンニングの実現手法についてサンプルコード（ダウンロード可能）を用いて紹介している。詳細はCertificate and Public Key Pinnningプロジェクトhttps://www.owasp.org/index.php/Certificate_and_Public_Key_Pinningを参照とのこと。（最新更新日：2015/07/18）

クエリパラメータに関するチートシート

SQLインジェクション対策としてのプリペアードステートメントを利用する手法及びストアドプロシージャにおけるバインド変数を利用する手法に関するコード例を言語ごとに紹介している。（最新更新日：2014/11/21）

Ruby on Railsにおけるセキュリティ対策に関するチートシート

Railsセキュリティガイドを補完しており、Ruby on Railsの開発者のためにコマンドインジェクション、SQLインジェクション、XSSなどの脆弱性に対する基本的なセキュリティ対策を紹介している。（最新更新日：2015/03/09）

RESTfulなサービスの実現に関するチートシート

RESTfulなサービスを実現する際に留意すべき作法（認証及びセッション管理、認可、入力値検証、エンコーディング、暗号化）について紹介している。（最新更新日：2015/07/24）

セッション管理などに関するチートシート

Webアプリに接続するユーザを識別するためのセッションを用いてユーザ認証、セッション管理、アクセス制御を行う際に、セキュリティを高める方法について紹介している。合わせて、セッションに対する攻撃を検知する方法やWAFを用いて攻撃を防ぐといった概念についても紹介している。（最新更新日：2015/07/18）

SAMLを用いたSSOの実装に関するチートシート

リダイレクト / POSTバインディングを利用したWebブラウザにおけるSAML / SSO（Security Assertion Markup Language / Single Sign On）プロファイルについて紹介している。（最新更新日：2015/09/04）

SQLインジェクション対策に関するチートシート

SQLインジェクションの対策手法として、プリペアドステートメントの利用、ストアドプロシジャの利用、入力値のエスケープについて具体的なコードを交えつつ紹介するとともに、保険的な対策である権限の最小化、ホワイトリストによる入力値の検証についても紹介している。（最新更新日：2015/07/28）

トランザクション認証に関するチートシート

ワンタイムパスワードやスマートカードによるデジタル署名などを用いたトランザクション認証の適切な実装手法について紹介している。（最新更新日：2015/07/18）

トランスポート層におけるセキュリティ対策に関するチートシート

SSL/TLS技術の基礎を紹介している。合わせて、SSL/TLS技術を用いてサーバ設計、サーバ認証、プロトコル/暗号構成を適切に実装するためのルールを紹介している。（最新更新日：2015/07/28）

リダイレクト及び転送機能の実装手法に関するチートシート

JavaやPHPなどの各言語におけるリダイレクト及び転送機能の安全な実装手法について、危険な実装手法も交えつつ紹介している。（最新更新日：2015/08/21）

プライバシー情報などに対する脅威の軽減手法に関するチートシート

SNSやコミュニケーションプラットフォームが保持するプライバシー情報や匿名情報などの機微情報に対する脅威を軽減するためのデータの暗号化やhttpsを用いたセキュアな通信の確立、認証方式などの基本的な手法について紹介している。（最新更新日：2015/07/18）

Webサービスにおけるセキュリティ対策に関するチートシート

Webサービスを構築する上で考慮すべきポイント（TLSを使うなどの認証時の注意点、DDoSやブルートフォース攻撃を緩和するための施策、実施するべきバリデーション、ウィルス対策や可用性など）について紹介している。（最新更新日：2015/08/04）

XSS対策に関するチートシート

反射型及び持続型のXSSに対する根本的な対策7点と保険的な対策4点を紹介している。DOMベースのXSSは、DOMベースのXSS対策に関するチートシート（https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet）を参照とのこと。（最新更新日：2015/09/23）

Breaker向けのチートシート

Webアプリへの攻撃に対する表層分析に関するチートシート

外部からのWebアプリへの攻撃に対して、シンプルな表層分析（サーフェイス分析）を行うことにより、リスクを評価したうえで、Webアプリのどの部分を見直すべきか、又は脆弱性診断を行うべきかを最小限の方法で判断する手法について紹介している。（最新更新日：2015/07/18）

XSSの脆弱性を検知するのに有用な文字列に関するチートシート

XSSの脆弱性を検知するのに有用な具体的な文字列について具体的に紹介している。（最新更新日：2015/08/01）

WebサービスにおけるREST対応の評価に関するチートシート

WebサービスにおいてREST(REpresentational State Transfer)対応ができているかを評価する観点について紹介している。（最新更新日：2015/07/18）

Webサービスに対するセキュリティテストにおけるチェック観点に関するチートシート

Webサービスに対するセキュリティテストにおけるチェック観点について概念レベルで紹介している。（最新更新日：2015/08/24）

Defender向けのチートシート

仮想パッチに関するチートシート

ソースコードを修正できない場合の副次的な対策としての仮想パッチ（WAF・IDSといったセキュリティ対策デバイス、Webサーバプラグイン、アプリケーションレイヤーフィルタ）の適応に関する継続的な運用方法について紹介している。（最新更新日：2014/11/04）

モバイルに関するチートシート

iOSアプリにおけるリスクとその対策に関するチートシート

iOSアプリを開発する際に留意すべきOWASP Mobile Top 10 Risk 2012（最新版は2014）に対応するリスク及びその対策について紹介している。（最新更新日：2015/07/18）

Jailbreakingなどに関するチートシート

iOSにおけるJailbreaking、AndroidにおけるRoot化、WindowsOSにおけるunlockingに関する基礎的な事項及び各処理を実行するツールを紹介している。また、各処理を実行することによるリスクや、実行を検知する方法について技術的、非技術的な双方の側面から紹介している。（最新更新日：2015/07/18）

ドラフト版のチートシート

【ドラフト】アクセス制御に関するチートシート

アクセス制御の基礎について説明するとともに、アクセス制御のアンチパターン及びベストプラクティス、各言語における具体的な実装手法について紹介している。（最新更新日：2015/09/08）

【ドラフト】アプリケーションセキュリティ設計及びレビューに関するチートシート

Webアプリのセキュリティアーキテクチャの初期設計やレビューにおける要求事項（ビジネス要求、インフラ要求、アプリ要求、セキュリティプログラム要求）に関する豆知識を紹介している。（最新更新日：2015/09/12）

【ドラフト】ビジネスロジックの脆弱性対策に関するチートシート

認証、認可、アクセス制御などの不備を突く攻撃ではなく、正常な手順を踏みつつも利益を得る（例えば注文処理実行直後に注文をキャンセルした場合に、システム上で注文は不成立となるもののなぜか商品は届いてしまうなど。）といったビジネスロジックに起因する脆弱性について紹介している。合わせて、それらの脆弱性を作り込まない方法や、脆弱性がないことを確認するテスト手法についても紹介している。（最新更新日：2014/06/05）

【ドラフト】PHPにおけるセキュリティ対策に関するチートシート

PHP開発者が考慮すべきセキュリティ向上のための秘訣としてSQLインジェクション、XSSなどの個々の脆弱性に対する対策、言語独自及びフレームワークにおける脆弱性に対する対策、認証・認可の実装やPHPの設定を行う上で留意する事項などについて紹介している。（最新更新日：2015/06/19）

【ドラフト】セキュアコーディングに関するチートシート

認証、セッション管理、アクセス制御など、セキュアなシステムを開発する際に留意すべき事項について紹介している。（最新更新日：2015/06/22）

【ドラフト】セキュアSDLCの実現に関するチートシート

組織におけるソフトウェア開発プロセスにセキュリティの観点を組み込み、OpenSAMM（http://www.opensamm.org/downloads/SAMM-1.0.pdf）における成熟度Level1を実現する方法について紹介している。（最新更新日：2012/12/31）

【ドラフト】Webアプリに対する脅威モデルに関するチートシート

Webアプリに対するセキュリティ上の脅威への対策方法（守るべきものの特定、攻撃者の定義、リスクの洗い出し・評価、リスクへの対応）について紹介している。（最新更新日：2015/08/31）

【ドラフト】Webアプリに対してブラックボックステストを実施する際に確認すべき観点に関するチートシート

Webアプリに対してブラックボックステストを実施する際に確認すべき観点についてチェックリスト形式で紹介している。（最新更新日：2015/09/17）

【ドラフト】Grailsにおけるコードレビューに関するチートシート

Groovy言語を使用するオープンソースのフレームワークであるGrailsにおけるコードレビューの際に確認すべき事項について紹介している。（最新更新日：2013/01/02）

【ドラフト】iOSアプリに対してテストを実施する際に確認すべき観点に関するチートシート

iOSアプリに対してテストを実施する際に確認すべき観点についてチェックリスト形式で紹介するとともに、テストに利用可能なツールについて紹介している。（最新更新日：2015/08/24）

【ドラフト】暗号化に利用する鍵の管理に関するチートシート

暗号化に利用する鍵を管理する際に考慮すべき事項について紹介するとともに、鍵管理におけるベストプラクティスについて紹介している。（最新更新日：2015/07/21）

【ドラフト】オブジェクト直接参照の危険な実装の防止に関するチートシート

オブジェクト直接参照の危険な実装の防止するための方法について紹介している。（最新更新日：2014/01/21）

【ドラフト】CSPに関するチートシート

CSP（コンテントセキュリティポリシー）の概要を紹介し、CSPを用いてXSSなどの脆弱性による攻撃の被害を軽減する方法を紹介している。（最新更新日：2015/06/09）

OWASP Cheat Sheet Series概要〜日本語版〜はベータ版の位置づけであり、今後も内容の変更やアウトプット方法の工夫などを施すことを予定しています。この資料についてやその他なんでもご意見やご要望などがありましたら、OWASP JapanのTwitterやFacebookページまでお気軽にご連絡ください。