そもそも[OWASP Top 10]ってなんです？

概要：OWASPという団体が作成するWebアプリケーションのセキュリティに関する脆弱性TOP10です。OWASPの他にどんなセキュリティ団体があるのか、ランキングって他にもあるのか？など調べました。そのため、[OWASP Top 10]の各項目についてはこの記事では説明しません。

1. OWASPついて

   • 概要：Open Web Application Security Projectの略で2001年に設立された非営利団体
   • 目的：Webアプリケーションセキュリティに関する情報の共有やプロジェクトの開発、教育・啓蒙活動を行うこと
   • 参加者：世界中のセキュリティ専門家やアプリケーション開発者、研究者
   • 活動：オープンソースのツールやドキュメントの開発、カンファレンスやトレーニングの開催、脆弱性情報の共有、その他

2. 現在迄のバージョン（3年おきなんで2024年にリニューアル？）

   • OWASP Top 10 2021←今ココ
   • OWASP Top 10 2017
   • OWASP Top 10 2013
   • OWASP Top 10 2010
   • OWASP Top 10 2007
   • OWASP Top 10 2004

3. 他のOWASPランキング（スマホとかIOTとか）

   • OWASP DevSecOps Top 10
   • OWASP Machine Learning Security Top 10
   • OWASP Kubernetes Top 10
   • OWASP Low-Code/No-Code Top 10
   • OWASP Data Security Top 10
   • OWASP Cloud-Native Application Security Top 10
   • OWASP Desktop App Security Top 10
   • OWASP Mobile Top 10
   • OWASP internet of things Top 10
   • OWASP Smart Contract Security Top 10
   • OWASP Serverless Top 10

4. OWASP以外の団体とランキング（色んな種類の脆弱性報告）

   • 米国国家安全保障局（NSA）/MITRE Corporation/SANS Institute(米国の情報セキュリティ組織): 脆弱性のタイプに着目してランキングを発表
     • CWE Top 25
     • SANS Top 20
   • アメリカ国立標準技術研究所（NIST）:脆弱性データベース（NVD）でCVE (Common Vulnerabilities and Exposures) と呼ばれる脆弱性の識別子で管理
     • CVE
   • ENISA: 欧州連合のサイバーセキュリティ機関で、EUレベルでの脅威分析や、脆弱性を発表しています。
   • JVN: IPAが運営する脆弱性情報ポータル
     • ウェブアプリケーションのセキュリティ実装（11種類）