OWASP、Webアプリにおける重大なリスクトップ10の2021年版を公開

OWASPは2021年9月24日(米国時間)、Webアプリケーションの重大なセキュリティリスクのトップ10を選び、それぞれを解説したドキュメント「OWASP Top Ten」の最新版となる「OWASP Top Ten 2021」を公開しました。

OWASP(The Open Web Application Security Project)は、Webセキュリティのプロフェッショナルたちがボランティアとして所属・活動しているセキュリティ団体です。世界中のセキュリティに関する調査を行ったり、調査結果を公開し、啓発活動を実施している団体です。2001年に設立され、現在では世界中で活動しています。

「OWASP TOP 10 2021」の順位は?

「OWASP TOP 10」は、2004年から定期的に発行されていたものの、2017年11月の発表が最後となっていました。そのため、今回は3年10カ月ぶりの公開となります。公開された「OWASP TOP 10 2021」によるセキュリティリスクの順位を詳しく見ていきましょう。

※CWE(Common Weakness Enumeration) = 共通脆弱性タイプ一覧

A01:2021-Broken Access Control アクセス制御の不備

アプリケーションの94%は、何らかの形のアクセス制御の不備についてテストされてます。
34のCWEがアクセス制御の不備に紐づいており、アプリケーションのカテゴリで最も多く発生しました。

A02:2021-Cryptographic Failures 不適切な暗号化

前回から順位を一つ上げたこのカテゴリは、「機微な情報の露出(Sensitive Data Exposure)」として知られていたものです。今回は根本的な要因よりも、暗号化技術の不適切な使用、または暗号化の欠如に関連した幅広い障害に焦点を当てています。こうした障害は、時に「機微な情報の露出」を結果としてもたらすとしています。
  • CWE-259:パスワードがハードコーディングされている問題
  • CWE-327:不完全または危険な暗号アルゴリズムの使用
  • CWE-331:不十分なエントロピー

A03:2021-Injection インジェクション攻撃

前回1位だったインジェクション攻撃は3位に下がっています。アプリケーションの94%で、何らかのインジェクションに関する問題が確認されています。
  • CWE-79:クロスサイト・スクリプティング、
  • CWE-89:SQLインジェクション
  • CWE-73:ファイル名やパス名の外部制御

A04:2021-Insecure Design 安全でない設計

2021年に新たに登場したカテゴリーです。設計やアーキテクチャの欠陥に関するリスクに焦点を当てています。 脅威のモデル化、セキュアなデザインパターンおよび、リファレンスアーキテクチャなどをもっと利用していくことが必要です。
  • CWE-209:エラーメッセージからの情報漏洩
  • CWE-256:パスワードなどのアカウント情報が平文のまま格納
  • CWE-501:信頼境界線の侵害および
  • CWE-522:十分でない資格情報保護

A05:2021-Security Misconfiguration 不適切なセキュリティ設定

前回の6位から順位を上げています。アプリケーションの90%には何らかの設定ミスが見られます。 高度な設定が可能なソフトウェアへの移行が進む中で、このカテゴリーの順位が上がったことは当然と言えます。
  • CWE-16:設定の問題
  • CWE-611:外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題

A06:2021-Vulnerable and Outdated Components 脆弱で古くなったコンポーネント

脆弱なコンポーネントは、テストやリスク評価に苦労する問題として知られており、含まれるCWEにマッピングされたCVEがない唯一のカテゴリーです。そのため、デフォルトの攻撃の難易度及び攻撃による影響のウェイトは、5.0を使用しています。
  • CWE-1104:メンテナンスされていないサードパーティー製コンポーネントの使用
  • OWASP Top10 2013 A9 および 2017 A9 を参照する2つの CWE

A07:2021-Identification and Authentication Failures 不適切な識別と認証

このカテゴリーは、これまでの調査報告では「認証の不備(Broken Authentication)」として記されていました。前回は第2位でしたが、第7位に順位を落としています。またこの今回は、識別の失敗に関するいくつかのCWEを含めています。
  • CWE-297:ホストの不一致による証明書の不適切な検証
  • CWE-287:不適切な認証
  • CWE-384:セッションの固定化

A08:2021- Software and Data Integrity Failuresソフトウェアとデータの整合の不備

2021年から新たに追加されたこのカテゴリーは、ソフトウェアの更新、重要なデータ、CI/CDパイプラインに関連して、完全性を検証せずに行うことに焦点を当てています。CVE/CVSSのデータから最も重み付けされた影響の一つです。
  • CWE-502:信頼されていないデータのデシリアライゼーション
  • CWE-829:信頼できない制御領域からの機能の取り込み
  • CWE-494:信頼されていないコードのダウンロード

A09:2021-Security Logging and Monitoring Failures セキュリティログとモニタリングの不備

セキュリティロギングとモニタリングは、前回の10位からわずかに上昇しました。 ロギングとモニタリングはテストが難しく、インタビューやペネトレーションテストで攻撃が検出されたかどうかを確認することがよくあります。 このカテゴリのCVE/CVSSデータはあまりありませんが、侵害を検知して対応することはとても重要です。
  • CWE-778:ロギングの不足
  • CWE-117:ログファイルへの不適切な出力
  • CWE-223:セキュリティに関連する情報の省略
  • CWE-532:ログファイルからの情報漏洩

A10:2021-Server-Side Request Forgery サーバーサイドリクエストフォージェリ (SSRF)

このカテゴリも、今回新たに追加されました。 調査データからわかることは、よくあるテストより広範囲において、問題の発生率こそ比較的低いものの、問題が起きた場合のエクスプロイトとインパクトは平均以上のものとなり得ます。 新しい項目は注意とアウェアネスのために単一または小さなCWEの集合であることが多いので、将来の調査にてそれらが注目され、より大きなカテゴリとなることが期待されます。業界の調査にて第1位となるなど、専門家により重要と示唆されています。

まとめ

「OWASP TOP 10」は、Webアプリケーションを守るためにセキュリティのプロが調査結果を収集したレポートです。攻撃の被害にあわないためにも、TOP10の内容を参考にWebアプリーケーションのセキュリティ対策を見直してみてはいかがでしょうか。

参考サイト

https://owasp.org/Top10/

https://www.wafcharm.com/blog/owasp-top-10-for-beginners/

https://qualias.net/introduction-to-owasp-top-10-2021/