OWASP とは何ですか? Owasp トップ 10 とは何ですか?
Open Web Application Security Project (OWASP) は、世界中のソフトウェアのセキュリティを向上させるために、最も適切な Web アプリケーション セキュリティのベスト プラクティスとリソースを文書化する国際的な非営利組織です。彼らは、組織や開発者が独自の Web セキュリティを向上できるように、資料を公開してアクセスできるようにしています。
OWASP Top 10 は、レポート内の最も深刻なセキュリティ上の懸念事項の上位 10 をランク付けするドキュメントの 1 つで、攻撃ベクトル、弱点、防止技術が含まれます。
OWASP トップ 10 が重要な理由
OWASP トップ 10 レポートは、世界中のセキュリティ専門家グループによってまとめられています。このレポートは 2003 年から発行されており、2 ~ 3 年ごとに更新され、企業がアプリケーション セキュリティ プロセスに組み込むための実用的なチェックリストを提供します。
このチェックリストは、特に最近行われたサイバー攻撃の爆発的な量とその巨大さを考えると、大小を問わず組織にとって重要です。ちょうどのケースを取ります コロニアル パイプラインのハッキング 今年4月にアメリカで攻撃は、仮想プライベート ネットワークを介して組織のネットワークに侵入することによって実行されました。これにより、従業員は会社のコンピューター ネットワークにリモート アクセスすることができました。 VPN の違反の既知の原因は、多要素認証の欠如であることが判明しました。これにより、ハッカーは侵害されたユーザー名とパスワードを使用して簡単に侵入することができました。ダークウェブ。
OWASP Ten が保持する影響とは?
OWASP Ten は、企業が自社の Web アプリケーションのセキュリティ リスクを最小限に抑え始めるための、おそらく最も影響力のある一連のガイドラインです。 OWASP トップ 10 チェックリストは、より安全なコードを作成することを目的として、組織内のソフトウェア開発ライフサイクルを変更するための基本的なガイドとして機能します。
その影響力は、それが提供する情報の特異性と実用性にあります。世界の主要組織によってゴールド スタンダードとして採用されており、監査人がコンプライアンス基準を評価する際に必須と見なすことがよくあります。
OWASP トップ 10 の Web アプリケーション セキュリティ リスクの緩和と防止
2021 年のレポートで概説されている OWASP の上位 10 のリスクには、次のものが含まれます。
1. 壊れたアクセス制御
2017 年のレポートで 5 位から上昇したのはアクセス制御の破損のカテゴリであり、これが最も深刻な Web アプリケーション セキュリティ リスクであることを示唆しています。このモードの攻撃は、認証されたユーザーのアクションに対する制限が適切に実施されていない場合に発生し、攻撃者が承認をバイパスして、他のユーザーのアカウントや権限を表示または変更するなど、管理者であるかのようにタスクを実行できます。
軽減する方法: 壊れたアクセス制御を保護するには、アプリケーションが認証トークンを使用し、それらに厳しい制御を設定するようにします。ログインしているすべてのユーザーが、特権付きの要求を行うときに認証トークンを提示するように強制します。さらに、徹底的な侵入テストを実施して、意図しないアクセス制御がないことを確認してください。
2. 暗号の失敗
このカテゴリは「Sensitive Data Exposure」と題され、2017 OWASP Top 10 レポートで #3 にランクされました。金融、ヘルスケア、その他の PII データなどの最も機密性の高いデータをアプリケーションが保護できないために発生する脅威の根本原因を強調するために、「暗号化の失敗」という名前に変更されました。障害は、クリア テキストで送信されるデータ、脆弱な暗号アルゴリズム、強制されない暗号化、および使用される暗号化プロセスのその他のエラーの形で発生する可能性があります。これらは攻撃者にとって簡単な標的となり、攻撃者はこれらを使用してクレジット カード詐欺、個人情報の盗難、または.使用される一般的な手法の 1 つは、中間者攻撃またはオンパス攻撃です。攻撃者は、被害者と到達しようとしているサービスの間に身を置くことによって、「転送中」のデータを盗みます。
軽減する方法: 格納されているデータを機密レベルに分類することから始めます。機密データの保存はできる限り避け、保存する必要がある場合はそのようなデータをすべて暗号化します。このような機密データのキャッシュを無効にすることで、露出のリスクを最小限に抑えることもできます。
3.注射
前の OWASP 版のトップの位置から #3 に滑り落ちたのはインジェクションです。これは、攻撃者が敵意のあるデータをコード インタープリターに送信して、それをだまして望ましくないコマンドを実行したり、許可されていないデータにアクセスしたりする脅威です。これらの攻撃は通常、レガシー コードで発生し、フォーム入力または Web アプリケーションへのその他のデータ送信を通じて実行されます。たとえば、プレーンテキスト入力を受け取るフォームがある場合、攻撃者は SQL データベース コードを挿入してフォームを介して実行する可能性があります。これは、SQL インジェクション攻撃として知られています。
軽減する方法: インジェクション攻撃は、コマンドやクエリからデータを検証して分離するためにあらゆる予防策を講じることで防ぐことができます。これには、疑わしいデータを拒否し、データの問題のある部分をクリーンアップすることが含まれます。理想的には、インタープリターの使用を完全に回避できる安全な API を使用する必要があります。データベース管理者は、適切な制御を設定して、インジェクション攻撃によって公開される可能性のある情報の量を最小限に抑えることもできます。
4. 安全でない設計
これは、2021 OWASP Top 10 に含まれる新しいカテゴリであり、設計とアーキテクチャに関連する欠陥に関係しています。これはさまざまな弱点からなる広範なカテゴリであり、一般に、特定の攻撃を防御するためのセキュリティ制御の欠如と、ソフトウェア開発中のビジネス リスク プロファイリングの欠如により、安全でない設計を引き起こします。たとえば、e コマース Web サイトが、非常に人気のあるアイテムを大量に購入しようとするボットに対する保護を備えていない場合、大量の売り上げを失い、ブランドや、興味を持っていた可能性のある潜在的な顧客の評判が損なわれる可能性があります。そのアイテム。
軽減する方法: 安全でない設計に対処する方法は、セキュリティとプライバシー関連の制御の明確な評価と設計を備えた安全な開発ライフサイクルに従うことです。開発には、安全な設計パターンのライブラリを使用し、重要な認証、アクセス制御、ビジネス ロジック、およびキー フローの脅威モデリングを採用する必要があります。
5. セキュリティの設定ミス
攻撃につながる最も一般的な問題の 1 つは、セキュリティ設定の不適切な構成です。一般的な原因は、アプリケーション スタックのどの部分でも安全でない既定の構成、ポート、サービス ページ、アカウントなどの不要な機能、パッチが適用されていない欠陥、および機密情報を明らかにする詳細なエラー メッセージです。これらの失効により、攻撃者は重要なデータに不正にアクセスでき、システムの完全な侵害につながる可能性があります。
軽減する方法: すべてのオペレーティング システム、ライブラリ、およびアプリケーションが安全に構成され、エラーなく定期的に更新されていることを確認します。開発、QA、本番などの異なる環境には、異なる資格情報も必要です。必要に応じて、この機能を自動化できる手法を採用してください。コードをクリーンアップして未使用の機能を削除し、エラー メッセージをできるだけ一般的なものにします。
6. 脆弱で古いコンポーネント
以前の版では「既知の脆弱性を持つコンポーネントの使用」というタイトルでしたが、このカテゴリは #9 から #7 に移動しました。これらの攻撃は、開発者がアプリケーションの構築中に使用するコンポーネント (ライブラリ、フレームワーク、およびその他のモジュール) について確信が持てない場合に発生します。これらのコンポーネント自体には、多くの場合、攻撃者が悪用できる脆弱性が含まれている可能性があり、データの損失やサーバーの侵害につながります.
軽減する方法: 外部コンポーネントの開発者は、既知の脆弱性に対するセキュリティ パッチと更新プログラムを提供していますが、開発者は常にこれらの更新プログラムをアプリケーションで実行しているわけではありません。これらのコンポーネントを介した攻撃を防ぐために、開発者は使用されていない依存関係を削除し、ソースの更新を監視して、最新バージョンが手元にあることを確認する必要があります。
7. 識別と認証の失敗
このカテゴリは、前の版で 2 番目にランク付けされたとき、Broken Authentication として知られていました。これには、識別の失敗に関連する Common Weakness Enumerations (CWE) が含まれるようになりました。 CWE の例としては、CWE-297: ホストの不一致による証明書の不適切な検証、CWE-287: 不適切な認証、および CWE-384: セッション固定があります。これらの攻撃は、通常、認証とセッション管理に弱点を持つアプリケーションを対象としています。攻撃者はこれらのアプリケーションを標的にして、パスワード、キー、セッション トークンなどを侵害します。このようなセキュリティ対策が破られると、ユーザーの ID を乗っ取ったり盗んだりする可能性があります。攻撃者が使用する単純な手法の 1 つは、クレデンシャル スタッフィングです。この手法では、大規模なデータ侵害から取得した既知のユーザー名またはパスワードのすべての組み合わせを試行するスクリプトを展開します。
軽減する方法: 基本的な最低限として、2 要素認証 (2FA) または多要素認証を実装する必要があります。また、脆弱なパスワードを避け、定期的に変更するよう意識的に取り組む必要があります。レート制限を使用してログイン試行の繰り返しを遅らせることも、推奨されるもう 1 つのベスト プラクティスです。
8. ソフトウェアおよびデータの完全性の失敗
これは、OWASP トップ 10 に追加された新しいカテゴリの脅威であり、整合性を検証することなく、ソフトウェアの更新、重要なデータ、および継続的な統合と配信 (CI/CD) パイプラインに関連する仮定に焦点を当てています。たとえば、アプリケーションがプラグイン、ライブラリ、コンテンツ配信ネットワーク (CDN)、またはその他のモジュールに依存している場合、安全でない CI/CD パイプラインが不正アクセスや悪意のあるコードにつながる可能性があります。自動更新機能を備えているアプリケーションや、シリアライゼーションまたはデシリアライゼーションを使用してデータが保存されているアプリケーションも危険にさらされています。
軽減する方法: これらのタイプの攻撃を監視し、シリアル化されたオブジェクトのデジタル署名などのチェックを実装し、特権環境で逆シリアル化するコードを分離することができます。唯一の確実な方法は、信頼できないソースからのライブラリまたはリポジトリのデータの受け入れを防ぐことです。 .
9. セキュリティのログと監視の失敗
以前は不十分なログと監視というタイトルでしたが、このカテゴリは前版の #10 の位置から上昇し、より多くの種類の障害を含むように拡張されました。このカテゴリの脅威は、侵害の検出が遅れた結果です。多くの調査では、侵害が検出されるまでに約 200 日かかることが示されています。この遅延により、攻撃者はシステムを侵害したり、機密データを隠して存続させたり、改ざんしたりするのに十分な時間を与えられます。
軽減する方法: すべてのログイン、アクセス制御の失敗、およびサーバー側の入力の失敗がログに記録され、監視されていることを確認してください。ログは、ログ管理ソリューションが使用できる形式で生成し、ログ監視システム自体への攻撃を防ぐためにエンコードする必要があります。特に高価値のトランザクションにおけるデータの改ざんを制御するために、整合性制御を備えた監査証跡を実装することもできます。
10. サーバーサイドリクエストフォージェリ (SSRF)
このカテゴリの脅威は、以前の版から OWASP トップ 10 に新たに追加されました。 SSRF の欠陥は、アプリケーションがリモート リソースを取得するときに、ユーザーが指定した URL を検証できない場合に発生します。これは、最新の Web アプリケーションがエンドユーザーに便利な機能を提供しようと努めていること、およびクラウド サービスと複雑なアーキテクチャの台頭が原因である一般的な攻撃モードです。攻撃者は、アプリケーションに細工したリクエストを予期しない宛先に送信させることができます。
軽減する方法: SSRF 攻撃は、リモート リソース アクセス機能をセグメント化し、「デフォルトで拒否」ファイアウォール ポリシーを適用することで、ネットワーク層から防御できます。アプリケーション層からは、クライアントが提供するすべての入力データを検証し、HTTP リダイレクトを無効にし、生の応答がクライアントに送信されないようにすることで、これらの攻撃を阻止できます。
Application Shield(WAF)のご紹介と無料トライアルのご案内
CDNetworks は、組織が Web アプリケーションを脆弱性や攻撃から保護するのに役立つ、クラウドベースの Web アプリケーション ファイアウォール (WAF) であるアプリケーション シールドを提供します。当社のグローバル コンテンツ配信ネットワーク (CDN) と統合されており、常時オンでインラインであるため、Web 資産を常に保護できます。アプリケーション シールドは、インジェクション、XSS などを含む OWASP トップ 10 の脅威から保護し、一般的なアプリケーションの脆弱性に対するルールと仮想パッチの自動作成を可能にします。また、アクセス制御、レート制限など、OWASP Top 10 攻撃を軽減および阻止するための他の多くの機能も備えています。さらに、無料の DDoS 軽減策が Application Shield に含まれています。
CDNetworks Application Shield がセキュリティを向上させる方法を探る 無料トライアル付き.
