OWASP Japan Blog 〜I can blog a little〜

先日公開されたOWASP Top10 2017の日本語版を公開しました。公開した資料はOWASP JapanのHPからダウンロードいただけます。

前回バージョンのOWASP Top10 2013からの変更点は下図のとおりです。

2013年版からの変更点

2017年版では、2013年版からA8−CSRFとA10−未検証のリダイレクトと転送がランキング外となっており、一方でA4:2017−XXE、A8:2017−安全でないデシリアライゼーション、A10:2017−不十分なロギングとモニタリングが新たにランキング入りしています。特に新たにランキング入りしたリスクに関しては、その内容についてご確認いただき、考慮・評価していっていただければと思います。もっとも、本文に記載のとおり10まででやめずに、上記ランキング外となったリスクを一例とした他のリスクについても考慮・評価していく必要があります。また2017年版では「ウェブアプリケーションと”API”」という記載がなされており、時代と合わせてリスクの対象が拡張、強調されていたり、なぜこのような結果になったのかといった補足情報が盛り込まれていたりします。

OWASP Top10といえば、これまで述べてきたTop10のリスクに注目が集まるかと思いますが、後半部の「開発者のための次のステップ」や「組織のための次のステップ」なども見どころ満載です。2017年版では「セキュリティテスト担当者のための次のステップ」や「アプリケーションマネージャのための次のステップ」が新規追加されており、それぞれの立場の方が今後どのようなことをやるべきなのかをより幅広く理解することができるようになっています。

また、OWASP Top10の記載からOWASP Software Assurance Maturity Model (SAMM)やOWASP Application Security Verification Standard(ASVS)等の他のOWASP PJへのリファレンスも取られています。そのため、OWASP PJの導入書的な存在としてもOWASP Top10をご活用いただけます。

OWASP Top10や各OWASP PJを参考にしつつ、ウェブセキュリティの強化につなげていただけますと幸いです。