🛡️

OWASP Top10 の推移

2023/08/28に公開

はじめに

OWASP Top10についての概要、過去のリストについてご紹介します。

最近の業務において、OWASP Top10を知るきっかけがあり、これについて簡単にまとめてみました。

本記事のターゲットは、OWASP Top10を知らない方向けの記事となっています。

OWASP Top10 とは何か?

The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the most critical security risks to web applications. 公式より

最近流行りのセキュリティリスクのトップ10です。
「流行り」なので、数年に一度このリストは変更されています。

ちなみにOWASPとは、Open Web Application Security Projectのことで、Webアプリケーションのセキュリティに関するガイドライン等を提供する非営利団体です。

https://owasp.org/Top10/ja/

OWASP Top10 2021

現在の最新版は2021年版です。公式で公開している2023年版はAPIに関するものなので、ここでは2021を紹介します。

A01:2021-アクセス制御の不備
A02:2021-暗号化の失敗
A03:2021-インジェクション
A04:2021-安全が確認されない不安な設計
A05:2021-セキュリティの設定ミス
A06:2021-脆弱で古くなったコンポーネント
A07:2021-識別と認証の失敗
A08:2021-ソフトウェアとデータの整合性の不具合
A09:2021-セキュリティログとモニタリングの失敗
A10:2021-サーバーサイドリクエストフォージェリ(SSRF)

各項目の詳細はGithubからも確認できます。

https://github.com/OWASP/Top10/blob/master/2021/docs/index.ja.md

OWASP Top10 2010-2017 の比較

前述のとおり、OWASP Top10 は数年に一度更新されています。
そのため、最新版では新しいカテゴリが追加されています。以下は過去のリストです。

OWASP Top10 2013

OWASP Top10 2017

過去のリストと比較すると、首位にいた「インジェクション」と「認証の不備」がランクダウンし、「アクセス制御の不備」が首位に浮上しています。
技術の進化、脅威の変化、新しい脆弱性の発見等により、項目が変わっています。

ちなみに、過去の資料もGithubから参照できます。

https://github.com/OWASP/Top10/tree/master

さいごに

簡単な紹介でしたが、公式に記述されている方法論や分析がなかなか面白いです。
興味のある方はぜひ。

Discussion