OWASP Top 10：限定するから価値があり、限定するから欠点もある

Does the OWASP Top 10 Still Matter?

2022/10/13 TheHackerNews — OWASP Top 10 とは何か？ このレビューでは、この OWASP が提供する重要なリスク・レポートの活用方法について紹介していく。OWASP (Open Web Application Security Project) とは、Web アプリケーションのセキュリティ向上を目的とした、国際的な非営利団体のことである。

同団体は、あらゆる Web アプリのセキュリティを、誰もが改善できるようにするために、すべての資料にオンラインでアクセスし、自由な利用できることを基本理念としりている。多くのツール／ビデオ／フォーラムなどが提供されているが、最もよく知られているのは、OWASP Top 10 プロジェクトだ。

Web アプリのセキュリティ・リスク Top 10

OWASP Top 10 は、Web アプリケーションのセキュリティにとって、最も重要なリスクを列挙している。このリストは、世界中のセキュリティ専門家のチームにより作成され、現在のセキュリティ状況に対する認識を高めることを目的としている。さらに、最新のセキュリティ・リスクに関する、網羅的で貴重な洞察を、開発者やセキュリティ専門家たちに提供する。

それらの専門家たちは、同リストに含まれるチェックリストと改善策のアドバイスを、自社のセキュリティ対策や運用に組み込むことで、Web アプリにおけるリスクを最小化していける。

OWASP Top 10 を利用すべき理由

OWASP は、Web アプリケーション市場の進化に伴い、２〜３年ごとに Top 10 を更新しており、世界中の大規模な組織においても重要な指針となっている。

そのため、Top 10 に記載されている脆弱性に対処しなければ、コンプライアンスやセキュリティが不十分であると見なされる可能性がある。反対に、このリストを業務やソフトウェア開発に取り入れることは、業界のベスト・プラクティスに対するコミットメントを示すことになる。

OWASP Top 10 を利用すべきでない理由

OWASP Top 10 リストは、あまりにも限定的で文脈を欠いているため、専門家の中には、欠陥が含まれると考える者もいる。たとえば、Top 10 のリスクにのみ焦点を当てると、ロングテールの脆弱性の軽視につながる可能性が生じる。さらに、OWASP コミュニティでは、11 位や 12 位の脆弱性を Top 10 の脆弱性と入れ替えるべきかという、ランキング議論が頻繁に繰り返されているようだ。

こういった指摘もあるが、依然として OWASP Top 10 は、セキュリティを考慮したコーディングとテストに取り組むための、主要なフォーラムとして存在し続けている。その理由は、同リストが、ユーザーにとって理解しやすく、リスクに優先順位をつけるのに役立ち、実施しやすいという点にある。また、リストの大半が、特定の脆弱性よりも、最も重要な脅威に焦点を合わせていることも、利点として挙げられている。

では、どうすべきか？

Web アプリケーションの脆弱性は、企業にとっても消費者にとっても、好ましくないものである。大規模な侵害が発生すれば、膨大な量のデータが盗まれる可能性が生じる。その組織が、OWASP Top 10 に対応していないから、Web アプリが侵害されたとは言い切れないが、このリストを採用するモチベーションと関連付けられるだろう。また、インジェクション／セッション・キャプチャ／XSS などをブロックしないのであれば、ファイアウォールにある無名のゼロデイ脆弱性を懸念しても無意である。

では、どうすればよいのだろうか。まず、セキュリティ衛生について、従業員全員を訓練することだ。侵入テストを含む、動的なアプリケーション・セキュリティ・テストを実施し、管理者がアプリケーションを適切に保護できるようにする。そして、オンラインの脆弱性スキャナを使用することだ。

OWASP を超えて

OWASP がリストアップした脅威から組織を保護するために、大半の組織と同様に、さまざまなサイバー・セキュリティ・ツールを使用しているかもしれない。これは良いセキュリティ・スタンスではあるが、脆弱性管理は複雑で時間がかかるものだ。

しかし、それを待つ必要はない。Intruder は、CI／CD パイプラインとの統合により、あらゆるサイバー上の弱点の発見を自動化することで、アプリケーションのセキュリティを簡単に確保する。

XSS／SQLインジェクション／リモート・コード実行／OS コマンド・インジェクションや、OWASP Top 10、CWE／SANS Top 25 などのチェックや、アプリケーション層の脆弱性チェックなど、境界全体に渡るセキュリティ・チェックを行うことができる。

Intruder は、Web アプリケーションのチェックに加え、パブリックおよびプライベートでアクセス可能なサーバ／クラウドシステム／エンドポイント・デバイス全体でレビューを行い、ユーザーの完全な保護を維持する。

文中にあるように、OWASP Top-10 は、[限定的] だから価値があり、また、欠点も取り込んでしまう性質を持つのでしょう。同様の視点から、限定的なインシデントに注目する CISA KEV  (Known Exploited Vulnerabilities) も、とても興味深いアプローチだと思います。最近の OWASP Top-10 関連のポストとしては、10月7日の「OWASP API Top 10 [+] に注目：Shadow API を狙う 50億のリクエストなどの脅威」というものがあります。よろしければ、OWASP で検索も、ご利用ください。