2021 年 OWASP Top 10 レポート
OWASP Top 10 は、開発者および Web アプリケーションのセキュリティーに対する啓発のための標準ドキュメントです。この OWASP Top 10 は、Web アプリケーションに対する最も重大なセキュリティー・リスクについての幅広いコンセンサスを表したものです。
アプリケーションと API に対する脅威のランドスケープは常に変化しています。このような進化の主要な要因としては、新しいテクノロジー (クラウド、コンテナー、API など) の急速な採用、アジャイル方式や DevOps などのソフトウェア開発プロセスの加速化と自動化、サード・パーティー製ライブラリーおよびフレームの急増、そして攻撃者による攻撃の高度化が挙げられます。これらの要因は、アプリケーションや API の分析を困難にするだけでなく、脅威のランドスケープを大幅に変化させる原因となり得ます。変化に後れをとらないよう、OWASP 組織では定期的に OWASP Top 10 レポートを更新しています。
AppScan Enterprise 10.0.7 以降では、OWASP Top 10 2021 レポートがサポートされています。
2021年版 Top 10 の変更点
2021年版 Top 10 では、新しいカテゴリーが 3 つ追加され、 4 つのカテゴリーで名称とスコープの変更がありました。また、統合されたカテゴリーも一部ありました。症状の根本原因に焦点を当てるよう名称変更が行われました。
| 2021 | 2017 年版からの変更点 |
|---|---|
| A01 Broken Access Control (不完全なアクセス制御) ⇧ | 最も重大な Web アプリケーションのセキュリティー・リスクを伴うカテゴリーとして、5 位から上昇しました。 |
| A02 Cryptographic Failures (暗号化の失敗) ⇧ | 以前は A3:2017 - Sensitive Data Exposure (機密データの露出) という名称で、3 位から上昇しました。以前から潜在的にあった暗号化に関連する失敗に焦点を当てています。このカテゴリーは多くの場合、機密データの漏えいやシステムの侵害を引き起こします。 |
| A03 - Injection (注入) ⇩ | 1 位から下落しました。A07:2017-Cross-Site Scripting (XSS) (クロスサイト・スクリプティング) は、このカテゴリーに含まれるようになりました。 |
| A04 Insecure Design (安全でない設計) (新規) | 新しく追加されたカテゴリーで、設計上の不備に関連するリスクに焦点を当てています。 |
| A05 Security Misconfiguration (セキュリティーの構成ミス) ⇧ | 6 位から上昇しました。A4:2017-XML External Entities (XXE) (XML 外部エンティティー) は、このカテゴリーに含まれるようになりました。 |
| A06 Vulnerable and Outdated Components (脆弱で古くなったコンポーネント) ⇧ | 以前は A09:2017-Using Components with Known Vulnerabilities (既知の脆弱性を持つコンポーネントの使用) という名称で、9 位から上昇しました。 |
| A07 Id and Authentication Failures (識別と認証の失敗) ⇩ | 以前は A02:2017-Broken Authentication (不完全な認証) という名称で、2 位から下落しました。このカテゴリーには、認証の失敗に関連する共通脆弱性タイプ一覧 (CWE) が含まれています。 |
| A08 Software and Data Integrity Failures (ソフトウェアとデータの整合性の不具合) (新規) | 新しく追加されたカテゴリーで、ソフトウェア更新、重要なデータ、CI/CD パイプラインに関連する整合性を検証せずに、仮定で進めることに焦点を当てています。共通脆弱性と暴露/共通脆弱性評価システム (CVE/CVSS) のデータから最も重大な影響を受けたものの 1 つが、このカテゴリーの 10 CWE にマッピングされています。A8:2017-Insecure Deserialization (安全でない非直列化) は、この大きなカテゴリーの一部となりました。 |
| A09 Security Logging and Monitoring Failures (セキュリティー・ロギングとモニタリングの失敗) ⇧ | 以前は A10:2017-Insufficient Logging & Monitoring (不完全なロギングとモニター) という名称で、10 位から上昇しました。さらに多くのタイプの失敗を含むよう拡張されており、テストが難しく、CVE/CVSS データにはあまり反映されないものです。ただし、このカテゴリーの失敗が起きた場合、表示、インシデント・アラート、フォレンジックに直接影響を与える可能性があります。 |
| A10 Server-Side Request Forgery (SSRF) (サーバー・サイド・リクエスト・フォージェリー) (新規) | セキュリティー・コミュニティー・メンバーによって報告された重要度に基づいて、新しく追加されたカテゴリーです。 |
| ⇧ ⇩ は、2017 年のレポートに対する順位 (A0 から A10) の変化を示します。 | |