OWASPとは?開発者が注意すべきセキュリティリスクについて

「Webアプリケーションの脆弱性を対策したい」
「OWASPというコミュニティが気になる」

個人情報の漏えいが問題視される今では、開発者が脆弱性を把握して対策することが重要です。安全性の高いアプリ開発を促進するために設立されたコミュニティとしてOWASPがあります。

OWASPとは?開発者が注意すべきセキュリティリスクについて

OWASPとは?開発者が注意すべきセキュリティリスクについて

開発者はOWASPのツールや情報を活用することで、より安全なアプリを開発することが可能です。この記事ではOWASPのメンバーやサービスなどについて解説します。

OWASPとは

アメリカに本部を置くオープン・コミュニティとして「Open Web Application Security Project(以下、OWASP)」があります。ボランティアにより成り立っている組織です。

OWASPはソフトウェアのセキュリティ環境や、セキュリティを高めるための技術を共有・普及することを目的として活動しています。日本国内でも複数の地域で活動していて、地方に住んでいる人でも参加可能です。

OWASPとは

Open Web Application Security Project – OWASPとは

 

活動しているメンバー

非営利団体として活動しているOWASPはリーダーを含めて報酬のないボランティアで成り立っています。活動するための費用は企業や団体、個人からの支援により調達する方針です。

OWASPでは企業・個人向けにメンバーシップを提供していて、寄付することでさまざまな特典を得られます。例えば個人の場合、年間50ドルまたは500ドルを寄付することで以下のようなサービスを利用可能です。

  • メンバーへの限定ニュース配信
  • ローカルミーティングへの優先入場(実施しない場合あり)
  • 「owasp.org」ドメインのメールアドレス付与

セキュリティに強い関心を持っているエンジニアはOWASPのメンバーシップに加入することがオススメです。

提供しているサービス

OWASPは多数のプロジェクトを運営して、セキュリティの情報共有・啓蒙活動を行っています。代表的なプロジェクトは次の5つです。

  • OWASP ASVS:Webアプリのセキュリティにおいて検証すべき事項を管理
  • OWASP ZAP:安全性を分析できるWebアプリスキャナーを開発
  • OWASP OWTF:効率的にセキュリティ検査するためのツールを開発
  • OWASP Testing Guide:既知の脆弱性について内容・検査方法を管理
  • OWASP Top10:開発者が優先して対処すべき脆弱性を共有

これらの他にもOWASPでは多数のプロジェクトを運営していて、OWASP Projectですべての内容を確認できます。

 

OWASP Top10とは

開発者やマネージャーなどに向けてアプリの脆弱性を共有することを目的としたプロジェクトがOWASP Top10です。セキュリティの専門企業から集めたデータからランキングを作成しています。

OWASP Top10を見ることで問題になりやすい脆弱性が分かり、優先して対策すべきセキュリティを理解できるのがメリット。プロジェクトデータは誰でも無料で閲覧できます。

 

2017年のリスクトップ10

OWASPは2017年11月20日に「OWASP Top 10 – 2017」をインターネット上に公開しました。開発者がアプリを制作するときに注意すべきリスクトップ10は以下の通りです。

  1. インジェクション
  2. 認証の不備
  3. 機微な情報の露出
  4. XML外部エンティティ参照
  5. アクセス制御の不備
  6. 不適切なセキュリティ設定
  7. クロスサイトスクリプティング
  8. 安全でないデシリアライゼーション
  9. 既知の脆弱性のあるコンポーネントの使用
  10. 不十分なロギングとモニタリング

各項目における脆弱性発見のポイントや防止方法についてはリリースノートに掲載されています。

Video OWASP API Security Top 10 – Crunch

まとめ

ソフトウェアのセキュリティ環境を共有して、安全なアプリ開発を促進するのがOWASPです。セキュリティが気になる開発者はOWASP Top10を参考にして、安全なアプリ開発に努めましょう。

弊社も2015年からベトナムオフショア開発をしてきました。
「ベトナムオフショアは安いからこんなもんだろうと」という経験をしている企業さんがたくさんいます。私たちも、時には失敗をしてそのような印象になってしまったこともあります。
しかしながら日々失敗と成功の経験を積み、PDCAサイクルで改善をかさねお客様の期待に応えられるように日々努力をしています。今後もOWASPなどを勉強してソフトウェアセキュリティに万全を期する目標に向かって努力して今入ります。

ONETECH ASIA – TRUST BUILD TRUST
これが私たちのポリシーです。お客様の課題を解決できるよう精一杯対応いたします。
ベトナムオフショア開発についてご質問があればお気軽にお問い合わせください。

お問い合わせ

返信を残す

お問い合わせ