Skip to content

Instantly share code, notes, and snippets.

@hasegawayosuke

hasegawayosuke/owasp-top-10-2021-index.ja.md

Created September 9, 2021 04:43
Show Gist options
  • Star 2 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save hasegawayosuke/baa3eb31057072d76f4e43778f685ce9 to your computer and use it in GitHub Desktop.
Save hasegawayosuke/baa3eb31057072d76f4e43778f685ce9 to your computer and use it in GitHub Desktop.
Download ZIP
OAWSP Top 10 2021 ja
Raw
owasp-top-10-2021-index.ja.md

この文書は https://github.com/OWASP/Top10/blob/master/2021/docs/index.md の前半を @hasegawayosuke が私的に訳したものです。正確性には欠けますので取扱いには自身で注意してください。

OWASP Top 10 2021の紹介

最新のOWASP TOP 10へようこそ! OWASP TOP 10 2021は新しいグラフィックデザイン、印刷もできる1ページのインフォグラフィックの全てが刷新されたものです。

この更新作業に時間とデータを提供してくれた全ての人に心から感謝いたします。あなたがいなければこの成果は出せませんでした。 ** ありがとうございます。 **

2021年版でのTop 10での変更点

2021年版のOWASP Top 10では、新しく3つのカテゴリー、名前やスコープが変更された4つのカテゴリー、いくつかの統合などがあります。

Mapping of the relationship between the Top 10 2017 and the new Top 10 2021

A01:2021-アクセス制御の不備 は5位から上昇しました。アプリケーションの94%で何らかのアクセス制御不備が確認されました。また、アクセス制御不備に分類される34種類のCWEは他のカテゴリーよりもアプリケーションで多く発生しています。

A02:2021-不適切な暗号化 はひとつ順位を上げています。 以前は「機微な情報の露出」と、本質的な原因ではなく症状を表した名称でした。 新しく焦点を当てるのは、機密データの漏えいやシステム侵害を引き起こす暗号化に関する問題点です。

A03:2021-インジェクション は3位に下がりました。アプリケーションの94%で何らかのインジェクションが確認され、またインジェクションに該当する33種類のCWEはアプリケーションで2番目に多く発生しています。2021版では、クロスサイトスクリプティングはこのカテゴリーに含められています。

A04:2021-安全でない設計 は2021版の新しいカテゴリーで、設計上の欠陥に関連するリスクに焦点を当てています。 真に業界として「シフトレフト」したいのであれば、脅威モデリングや安全な設計のパターンと原則、参照アーキテクチャーの採用をより増やす必要があります。

A05:2021-不適切なセキュリティ設定 は以前の版の6位からひとつ順位を上げています。 90%のアプリケーションで何らかの設定ミスが確認されています。 高度な設定が必要とされるソフトウェアが増えるのに伴い、このカテゴリーの順位があがったことも当然と言えます。 以前のカテゴリーであるXML外部エンティティ参照(XXE)は、現在はこのカテゴリーの一部として含められます。

A06:2021-脆弱な古いコンポーネント は以前は「既知の脆弱性のあるコンポーネントの使用」という名称で、業界での調査によると2位でしたが、データ分析によればトップ10に十分含められるものでした。このカテゴリーは、テストやリスク分析に苦慮しており、2017版の9位から上昇しています。 このカテゴリーは、含まれるCWEにマッピングされるCVEを持たない唯一のものであるため、デフォルトのエクスプロイットとインパクトの重みが5.0であることがスコアに考慮されています。

A07:2021-不適切なIdentificationとAuthentication は以前は「不適切な認証」として2位でしたが、この版ではidentificationの問題に関連するCWEを含めています。 このカテゴリーは以前としてTop 10の重要な位置を占めていますが、標準化されたフレームワークの利用増加が解決への手助けになっているようです。

A08:2021-ソフトウェアとデータの整合の不備 は2021版の新しいカテゴリーであり、ソフトウェアの更新、重要なデータ、CI/CDパイプラインなどにおいて、見込みで整合性の検証を行わない点にフォーカスしています。 CVE/CVSSのデータからもっとも重大な影響のひとつが、このカテゴリーの10のCWEに含まれています。2017版の「安全でないデシリアライゼーション」はこのカテゴリーの一部に含まれています。

A09:2021-セキュリティログとモニタリングの不備 は業界調査3位であり従来の「不十分なロギングおよびモニタリング」の10位から順位を上げました。 このカテゴリーはより多くの種類の障害を含むよう拡張され、テストが困難で、CVE/CVSSのデータはあまり反映されていません。しかし、このカテゴリーの障害は、視認性やインシデントのアラート、フォレンジックなどに直接的に影響を与える可能性があるものです。

A10:2021-サーバーサイド リクエストフォージェリ が業界調査(1位)により追加されました。 調査データでは、テスト範囲は平均より広く、発生率は比較的低いものの、エクスプロイットやインパクトの可能性は平均より高いという評価でした。 このカテゴリーは、現時点ではデータとして表れているわけではないものの、業界の専門家が重要であると認識しているシナリオを示しています。

@hasegawayosuke
Copy link
Author

続きはこっちで。 → https://github.com/owasp-ja/Top10/tree/master/2021

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment