OWASP Top-10 2021 Draft：Web アプリへの脅威をカテゴライズ

OWASP shakes up web app threat categories with release of draft Top 10

2021/09/09 DailySwig — Open Web Application Security Project (OWASP) は、2021年の Top-10 リストのドラフトを発表し、現代の脅威の分類方法を一新した。9月8日の発表で OWASPは、ピア・レビュー／コメント／翻訳・改善の提案を目的とする、Top 10 Web Application Security Threats for 2021 のドラフトを公開したと述べている。

オンラインで閲覧が可能な、このドラフト・レポートでは、2017年以来更新されていなかった、今日の Web アプリに対する脅威を、この非営利団体が分類する方法に関する、重要な変更が加えられている。

ドラフトの Top-10 を掘り下げる

新たな３つのカテゴリーである、Insecure Design と Software and Data Integrity Failures、そして、Server-Side Request Forgery (SSRF) 攻撃のグループが追加されている。2017 年の XML External Entities (XXE) セクションは、2021 年の Security Misconfiguration カテゴリに追加され、Cross-Site Scripting (XSS) は Injection セクションに追加され、Insecure Deserialization は Software and Data Integrity Failures の一部になった。また、OWASP は、スコープの変更に合わせて、いくつかのカテゴリーの名称を変更している。

サイバー・セキュリティ企業から提供される脅威情報を、OWASP が分析する際には、特定のデータ要素が存在し、それらは Top-10 リストを作成するために使用される。これらの要素には、ソフトウェアとハードウェアの CWE (Common Weakness Enumeration) マッピングおよび、特定の CWE に対して脆弱なアプリの割合、組織内でのカバー率などが含まれる。

また、OWASP は、CVSSv2 と CVSSv3 のスコアに基づいた脆弱性のエクスプロイト負荷および平均メトリクス、また、カテゴリにマッピングされた CWE を持つことが判明したアプリの総数だけではなく、特定のタイプの脅威に起因する CVE の総数も考慮している。

OWASP Top-10 全リスト

1.A01:2021-Broken Access Control：34件の CWE が該当：アクセス制御の脆弱性には、特権昇格および、悪意の URL 変更、アクセス制御バイパス、CORS の誤設定、主キーの改ざんなどがある。

2.A02:2021-Cryptographic Failures：29 件の CWE が該当：脆弱な暗号アルゴリズムの実装および、不十分／不適切な鍵生成、暗号化実装の失敗、証明書検証の失敗、平文データ送信などの、転送中／静止中データに発生するセキュリティ障害が含まれる。

3.A03:2021-Injection：33件の CWE が該当：一般的なインジェクションは、サニタイズの失敗および、XSS 脆弱性、ファイルパス保護欠如などが原因となり、SQL／NoSQL／OS コマンド／LDAP などに影響を与える。

4.A04:2021-Insecure Design:：40 件の CWE が該当： 安全ではない設計要素には様々なものがあるが、OWASP は「欠落した制御設計、効果のない制御設計」と表現している。懸念される分野としては、保存されたデータの保護の欠如、論理プログラミングの問題、機密情報を暴露するコンテンツの表示などがある。

5.A05:2021-Security Misconfiguration：20 件の CWE が該当：アプリケーションの脆弱性として、セキュリティ強化不足、特権拡大などの不必要な機能、有効なデフォルト・アカウントの放置、セキュリティ機能の不正確な設定などがある。

6.A06:2021-Vulnerable and Outdated Components：３件の CWE が該当：このカテゴリが焦点を当てるのは、クライアント側およびサーバー側のコンポーネントであり、コンポーネント保守の失敗、サポートの終了した OS／Web サーバー／ライブラリなどの使用、コンポーネントの誤設定などが含まれる。

7.A07:2021-Identification and Authentication Failures：22件の CWE が該当：セキュリティ上の問題として、不適切な認証および、セッションの固定化、証明書の不一致、弱い認証情報の許可、ブルートフォース対策欠如などが含まれる。

8.A08:2021-Software and Data Integrity Failures：10件の CWE が該当：このカテゴリの焦点は完全性であり、信頼できないデータのデシリアライズや、リモートソースからの未検証のコード／アップデートの実行などが対象となる可能性がある。

9.A09:2021-Security Logging and Monitoring Failures：４件の CWE が該当：ログ収集／処理の問題、セキュリティ関連情報フィードの記録失敗、ログデータのローカルのみへの記録などの、データ侵害やサーバー攻撃の分析を妨げる可能性のある問題が該当する。

10.A10:2021-Server-Side Request Forgery：１つの CWE が該当：SSRF の脆弱性は、サーバーがリモートリソースを取得する際に、ユーザーから送信された URL をに検証しない場合に発生する。OWASP によると、クラウド・サービスの導入や、複雑化するアーキテクチャにより、SSRF 攻撃の深刻度が増しているとのことだ。

OWASP のシフト・レフトを分析する

Bishop Fox の Practice Director of Application Security である Tom Eston は、「Insecure Design と Software and Data Integrity Failures の追加は、脅威のモデリングだけでなく、安全なデザインとアーキテクチャに重点を置くことで、ソフトウェア業界全体がシフト・レフトし続けていることを示す。いまの時代では、開発のスピードが優先され、安全なデザインと脅威のモデリングが見過ごされがちだ。 また、別の重点分野として、OWASP がソフトウェアの完全性と、CI / CD パイプラインのセキュリティに注目するのを確認できて嬉しい」と、The Daily Swig に述べている。

OWASP は、Top-10 リストを作成する際の手法も更新した。10カテゴリーのうち８カテゴリーはデータに基づき、また、２カテゴリーは業界調査の回答から選択されている。OWASP はステートメントで、「AppSec の研究者たちが、新しい脆弱性やテスト方法を見つけ出すには時間が必要だ。また、これらのテスト、をツールやプロセスに組み込むのにも時間が必要で、大規模なテストが可能になるまでには何年もかかるだろう。そこで、バランスをとるために、私たちは業界の調査を利用し、最前線にいる人々に対して、いまのデータには示されていない本質的な弱点を尋ねている」と述べている。

なお、サイバー・セキュリティ専門家などからフィードバックがあった場合には、このリストが変更される可能性もあり。

肯定的な回答

OWASP Top-10 の共同リーダーである Brain Glas は、このドラフトに対して、当初は多くの肯定的な反応があったと述べているが、「現在のドラフトに声高に反対する人も、少なからずいるだろう」と予想している。彼は、「この業界は複雑であり、また、テーマも複雑でり、人々はさまざまな経験や背景を持っている。Top-10 のドラフトが、自身の経験や認識と一致する人もいれば、そうでない人もいるだろう。フィードバックを処理して、ドラフトに磨きをかけていくうちに、若干の変更が加えられると思う」と述べているが、これも、まだ、定まったものではない。

OWASP の Executive Director である Andrew van der Stock は、「今回のバージョンでは、人々が実際に、どのように使用するかについてガイダンスを与えようとしている。2007年版と2017年版では、これは意識向上のための文書であり、それ以上のものではないと書いた。しかし、それは、意図された使い方ではない。OWASP Top-10 がゲームだとしたら、作者の想像の範囲を超えて使われたが、それを作者は歓迎したと言えるだろう。そこで今回は、非公式な基準として、また、AppSec プログラムの最初の一歩として、どのように使用するのがベストなのかを述べることにした」と説明している。

また、OWASP は、AppSec Labs／GitLab／Cobalt.io／HackerOne／Veracode などの組織が、50万以上のアプリケーションに関連するデータを、提供してくれたことに謝意を述べている。この報告書のドラフト版に加えて、9月24日には Surprise Extra が発表されるという。OWASP は、次の報告書が、Covid-19 の影響で遅れていた今回から、４年以内に発表されることを期待しているという。

OWASP と Daily Swig の意図を考えながら、また、今後のセキュリティの在り方を推測しながらの翻訳でした。けっこう時間のかかる作業でしたが、それも、また、楽しです。先日の、「ネットワーク境界が消えた世界：どのようにセキュリティを確保するのか？」や「セキュリティを押しつけるな！ネットワークさんが怒ってます！」にあるように、アプリケーションにおけるセキュリティのデザインが、とても大事になってきています。その意味で、OWASP Top-10 分類は１つのステップになるでしょうし、「脅威モデリングを自動化する時代へと突入する？」などに話がつながると面白いです。