OWASPは、ソフトウェアのセキュリティを向上させるための活動を行っている非営利財団です。
OWASP(Open Worldwide Application Security Project)は、信頼できる安全なアプリケーションのためのソフトウェアを組織が設計、開発、入手、運用、保守できるようにすることを目的としたオープン コミュニティです。そのプログラムには、コミュニティ主導のオープンソース ソフトウェア プロジェクトや、ローカルおよびグローバルなカンファレンスが含まれ、世界各地に数百の支部があり、数万人のメンバーが参加しています。
OWASPは、Webアプリケーションのセキュリティ リスクについての意識を高める上で重要な役割を果たし、Webアプリケーション セキュリティの増大する課題に対処するための貴重なリソース、ツール、ドキュメント、ベスト プラクティスを提供しています。OWASPは、開発者、セキュリティ専門家、組織が潜在的な脅威を理解し、セキュリティのベスト プラクティスを採用できるよう支援しています。
OWASPは、Webアプリケーション セキュリティにおける最も重大な10のリスクのリストを作成し、それらを軽減するための効果的なプロセス、手順、対策とともに提供しています。OWASPはまた、APIの開発と保守に携わる人材を教育し、APIセキュリティの一般的な弱点についての意識を高めるために、APIセキュリティ リスクのトップ10のリストも提供しています。
OWASPコミュニティは、個人や組織がそのプロジェクトやリソースに貢献することを奨励しています。この協力的かつ調査主導型のアプローチにより、コミュニティはメンバーの集合的な知見と専門知識を活かして、包括的な最新のリソースを生み出しています。
アプリケーションとAPIの両方に共通するセキュリティ リスクがあり、セキュリティ ソリューションを実装する際には、以下のような点を考慮する必要があります。
OWASP Top 10は、最も重要なWebアプリケーション セキュリティ リスクのリストとして広く知られています。このリストは、開発者、セキュリティ専門家、組織がWebアプリケーション セキュリティの重大なリスクを特定し、緩和するための取り組みに優先順位を付ける際の指針として役立ちます。
OWASP Top 10リストに掲載されているリスクは、必ずしもすべてのWebアプリケーションでの蔓延や重大性を示すものではなく、トップ10が特定の順序や優先順位に従ってランク付けされているわけではありません。
2021年のWebアプリケーション セキュリティ リスクのOWASP Top 10は次のとおりです。
アクセス制御の不備。この脆弱性は、アクセス制御と認可の実施が不十分なために、攻撃者が許可されていない機能やデータにアクセスするのを許してしまうことで発生します。これは、安全でない直接オブジェクト参照(IDOR)が原因である可能性があり、内部オブジェクトへの直接参照として使用されるユーザー入力をアプリケーションが検証または認可しない場合に発生します。また、アプリケーションが最初の認証や認可の段階でアクセス制御を検証するだけで、アプリケーションの機能や操作全体を通して一貫して制御しない場合、機能レベルのアクセス制御が欠落していることが原因で発生することもあります。Web Application Firewall(WAF)は、機密性の高いオブジェクトやリソースへの不正アクセスを防ぐためにアクセス制御を監視し、実施することで、こうした攻撃を防御することができます。
2021年版OWASP Top 10では、前回の2017年版OWASP Top 10にいくつか新しいカテゴリが追加され、名称が変更されています。これらの変更として、2017年版のリスク脅威の「XML外部エンティティ(XXE)」が2021年版の「セキュリティの設定ミス」カテゴリにまとめられ、2017年版の「クロスサイト スクリプティング(XSS)」が2021年版の「インジェクション」カテゴリに追加されています。2017年版のリスク「安全でないデシリアライゼーション」は、2021年版では「ソフトウェアとデータの整合性の不具合」カテゴリに組み込まれました。
OWASPは現在、293のプロジェクトを後援し、その中には、OWASPとアプリケーション セキュリティ全体に戦略的価値を提供する、以下の16のOWASPフラッグシップ プロジェクトが含まれています。
OWASPは、開発者、セキュリティ専門家、組織の間でWebアプリケーションのセキュリティ リスクについての意識を高め、ベスト プラクティスを提唱することにより、ソフトウェア セキュリティを向上させるという継続的な取り組みで重要な役割を果たしています。コミュニティ主導のプロジェクトであるOWASPは、Webアプリケーション セキュリティの向上に協力する専門家や愛好家を集め、セキュア コーディングのプラクティスと安全な開発手法を推進する、セキュリティを意識した文化の構築を支援しています。
さらにOWASPは、OWASP Top 10、OWASP API Security Top 10、Automated Threats to Web Applicationsプロジェクトなど、組織のセキュリティ体制を強化できる豊富なオープンソース ツール、ドキュメント、リソースを無償で提供しています。その他のOWASPの取り組みには次のようなものがあります。
OWASPの会員になるか、地域の支部の会議に出席して、ぜひ活動に参加してください。会議には会員・非会員を問わず無料で参加できます。さらに、OWASPは毎年、およそ12回のグローバル イベントと地域イベントを開催しています。キャリア スキルを向上させ、専門家のネットワークを築き、業界の新しいトレンドについて学ぶ絶好の機会です。
F5は、OWASP Foundationと、ソフトウェア セキュリティの改善とWebアプリケーションのセキュリティ リスクと脆弱性についての意識向上に向けたその取り組みをサポートしています。F5 Web Application Firewallソリューションは、OWASP Top 10に起因する幅広いリスクを防ぎ、軽減します。
F5 WAFソリューションは、F5 Labsの脅威インテリジェンスやMLベースのセキュリティなどのシグネチャと動作保護を組み合わせて、新たな脅威に対処します。これにより、クラウド、オンプレミス、エッジの各環境でアプリケーションを一貫して保護する負担と複雑さが軽減され、一元的なSaaSインフラストラクチャにより管理が簡素化されます。また、F5 WAFは、分散したアプリケーション全体のパフォーマンスとセキュリティ イベントを全方位的に確認できる単一のダッシュボードを持ち、コア セキュリティ機能、一元的なオーケストレーション、監視機能を備えた開発フレームワークとCI/CDパイプラインに保護手段を統合することで、アプリケーション セキュリティを合理化します。
F5はまた、アプリケーションの進化とAPI導入の増加に伴い増大している攻撃対象を保護し、新たな脅威を防御するソリューションを使用して、OWASP API Security Top 10で特定されたリスクにも対処します。F5 Web Application & API Protection(WAAP)ソリューションは、WAF、APIセキュリティ、L3~L7 DDoS緩和策、自動化された脅威や不正行為を防御するボット対策を含む包括的な保護対策により、最新のアプリケーションの攻撃対象全体を守ります。分散型プラットフォームにより、アプリケーションとAPIがホストされている場所に関係なく、これらの資産全体にわたって一貫したポリシーを導入してセキュリティを拡張することが容易になり、APIライフサイクルとより広範なエコシステムにセキュリティを統合することができます。
F5は、OWASPのAutomated Threats to Web Applicationsプロジェクトで概説されているリスクに対処するソリューションも提供しています。F5 Distributed Cloud Bot Defenseは、ユーザーの満足度を低下させることもカスタマ エクスペリエンスを損うこともなく、既存のボット管理ソリューションを回避できる不正行為や悪用を防止し、リアルタイムの監視とインテリジェンス、MLベースのレトロスペクティブ分析を提供して、自動攻撃から組織を守ります。Distributed Cloud Bot Defenseは、攻撃者がどのように手段を変えても、攻撃対象がWebアプリケーションからAPIに変わっても、あるいはテレメトリのなりすましやヒューマンCAPTCHAソルバーを使用して自動化対策を回避しようとしても、その有効性を失いません。
F5はまた、高度なオンライン セキュリティのための多層的なDDoS対策も提供しています。これは、ネットワーク、プロトコル、アプリケーションを標的とした大規模攻撃をリアルタイムで検知して軽減する、クラウド提供型のマネージド サービスで、オンプレミスのハードウェア、ソフトウェア、ハイブリッド ソリューションでも同じ保護機能が提供されます。F5 Distributed Cloud DDoS Mitigationは、レイヤ3とレイヤ4のアプリケーション固有のボリューム型攻撃や高度なレイヤ7攻撃を、ネットワーク インフラストラクチャやアプリケーションに到達する前に防御します。