OWASP 内の "Top 10" 一覧

伊藤 彰嗣

OWASP には様々なプロジェクトが存在します。
https://owasp.org/projects/

プロジェクトの中には、様々な領域のリスクについてランク付けを行い、Top 10 としてまとめる活動をされていることがあります。この記事ではこれらのプロジェクトの中から 2020.05 現在に参照可能プロジェクトの概要を Level カテゴリ順にまとめます。プロジェクト名の中に Top 10 が含まれていない場合でも、プロジェクトの中の成果物として提供されていることもあるので、見落としがあれば適宜追記をしていく予定です。ぜひ教えてください。またよく似たプロジェクトとしてセキュリティの管理策をまとめるプロジェクトもありますが、この一覧では省略します(OWASP Proactive Control など)。

Flagship Project

Flagship Project は OWASP およびアプリケーションセキュリティ全体に対して戦略的価値を実証したプロジェクトです。

OWASP Top ten
https://owasp.org/www-project-top-ten/

最も有名な「Top 10」プロジェクト。各種データをもとに、最もリスクの高いウェブアプリケーションにおける 10 のセキュリティリスクを取りまとめています。開発者およびWebアプリケーションセキュリティのための標準的なドキュメントとして広く活用されています。最終更新は 2017 年。次回の更新は 2021 年初頭を予定しているとのこと。

OWASP Mobile Top 10
https://owasp.org/www-project-mobile-top-10/

Flagship カテゴリにあるもう1つの Top10 プロジェクト。こちらも調査結果をもとにモバイルアプリにおける 10 のセキュリティリスクが取りまとめています。最終更新は 2016 年。次回の更新がいつごろになっているのはプロジェクトページからは読み取れず。

Lab Project

Lab Project は OWASPでレビューされた価値のある成果物を作成したプロジェクトを表します。

OWASP API Security Project
https://owasp.org/www-project-api-security/

API の固有の脆弱性とセキュリティリスクを理解して軽減するための戦略とソリューションに焦点を当て、10 のセキュリティリスクが掲載されています。想定されるリスク項目に対して、OWASP Risk Methodology で評価し、発生可能性が最も高いリスクから順に評価するアプローチをとられていますが、何らかの調査結果をもとに作られたものではないようです。最終更新は 2019 年。

OWASP Internet of Things
https://owasp.org/www-project-internet-of-things/

OWASP IoT プロジェクトは、製造者、開発者、および消費者がモノのインターネット(IoT)に関連するセキュリティの問題をよりよく理解できるように設計され、ユーザーがIoTテクノロジーを構築、展開、または評価するときに、より良いセキュリティを決定できるようにするため、各種成果物をリリースしています。この中の成果物の1つに OWASP IoT Top10 Risks があります。Methodology が明示されていて、他の基準との相互互換性をマッピングするプロジェクトが走っている点などが好感をもてます。最終更新は 2018 年。

OWASP Top 10 Privacy Risks
https://owasp.org/www-project-top-10-privacy-risks/

Web アプリケーションとその周辺におけるプライバシーリスクを取りまとめたプロジェクトです。技術だけでなく、組織的な問題に起因するプライバシーリスクが Top10 に組み込まれている点が印象的です。最新版は 2014 年ですが、2020 年現在更新版のリリースに向けた作業が行われています。2020 年更新版では 想定されるリスク項目に対して、OWASP Risk Methodology で評価し、発生可能性が最も高いリスクから順に評価するアプローチをとられています。個人的には IoT Top10 と同じように、このリストを補完するプロジェクトが走るとより良くなっていくのではないかと思っています。

Incubator Projects

Incubator Project はアイデアが実証中で、開発が進められているプロジェクトを表します。Incubator プロジェクトの中には今回の定義に当てはまる一覧はありませんでした。

今回リスクをまとめたプロジェクトを調べてみたのですが、より参照される成果物は他のプロジェクトとの関係性、データを中心にしたリスク評価アプローチといった点が重要だと感じた次第です。この文書が皆様の何かのお役に立てば幸いです。

この記事が気に入ったらサポートをしてみませんか?