OWASP トップ 10 の概要
OWASP Top 10は、Webアプリケーションにおける最も重大なセキュリティリスクを理解し、対処するための世界的に認められた標準です。ソフトウェアセキュリティの向上に重点を置くコミュニティ主導の組織であるOpen Web Application Security Project(OWASP)によって開発されたOWASP Top 10は、Webアプリケーションで最も蔓延し、影響の大きい脆弱性を優先順位付けしたリストを提供します。
このブログ記事では、OWASP Top 10の各カテゴリを詳細に分析し、その根本的な原因、潜在的な影響、そして推奨される予防・軽減戦略を検証します。これらの基本的なセキュリティリスクに関する洞察を得ることで、読者はWebアプリケーションのレジリエンスを強化し、セキュリティ侵害やデータ漏洩の可能性を最小限に抑えることができるようになります。
OWASPとは
OWASPとも呼ばれる オープンWebアプリケーションセキュリティプロジェクトは、ソフトウェアの強化に特化した非営利団体です。 セキュリティ彼らの活動には、数多くのオープンソースソフトウェア開発イニシアチブ、ツールキット、地域支部、カンファレンスなどが含まれます。特に、彼らは以下の活動を監督しています。 OWASPトップ10、の編集 最も一般的なセキュリティリスク 直面する Webアプリケーションコード開発と厳格なテスト中にこれらのリスクを優先することで、開発者は悪意のある行為者からユーザーの機密データを保護するアプリケーションを作成できます。
OWASP標準への準拠を保証することは、 コードのセキュリティ2023年のソフトウェアセキュリティのトレンドに関する調査では、調査対象となった70万件のアプリケーションのうち、約XNUMX%がセキュリティ違反を示していた。 OWASPトップ10に該当する脆弱性.
企業はこのフレームワークを導入し、Webアプリケーションにおけるリスクを軽減するための対策を講じることが不可欠です。OWASP Top 10を採用することは、あらゆる組織において安全なソフトウェア開発の文化を育むための重要な第一歩となります。
RELIANOID ADC 市場では、modsecurity の最も直感的なグラフィカル統合を提供する数少ないソリューションの 1 つとして際立っています。
OWASP Top 10のコンパイル方法
OWASPトップ10のデータ収集と分析のプロセスは、 2017年のオープンセキュリティサミットこれにはOWASPトップ10リーダーと コミュニティにより、透明性の高いデータ収集プロトコルが確立されました。2021年に導入されたこの手法は、この標準化されたアプローチのXNUMX回目の導入となります。
データ収集のため、プロジェクトメンバーとOWASPコミュニティの両方がアクセスできる様々なソーシャルメディアチャネルを通じて呼びかけを行っています。詳細な手順とテンプレートは、OWASPプロジェクトのページとGitHubリポジトリでそれぞれ提供されています。彼らは、テストを専門とする組織、バグ報奨金プログラム、そして内部テストデータを提供する組織と協力し、収集されたデータを統合して包括的な分析を行い、共通の脆弱性とエクスポージャーを特定しています(CWE)とそれに対応する リスクカテゴリー.
発生率の高い10つのカテゴリーを優先的にトップXNUMXリストに含めます。さらに、コミュニティ調査の結果も考慮し、リストへの追加候補を特定します。最終的な選定プロセスでは、標準化された基準を適用して評価を行います。 悪用可能性と影響リスクの重大度順にトップ 10 リストをランク付けするのに役立ちます。
CWE(共通脆弱性列挙)は、ソフトウェアおよびハードウェアにおける一般的なセキュリティ上の脆弱性を特定、分類、優先順位付けするための標準化された方法を提供します。各CWEエントリには、脆弱性の説明、コードまたはシステムでどのように発現するかの例、悪用された場合の潜在的な影響、および緩和戦略が含まれています。
OWASP トップ10脆弱性リスト
トップ10リストの各カテゴリには、マッピングされたCWEの数、発生率、テスト範囲、加重エクスプロイトスコアと影響度スコアなど、様々なデータ要素が付随しています。これらの指標は、様々なカテゴリにおけるセキュリティリスクの蔓延状況と深刻度を包括的に把握するのに役立ちます。
10 年の OWASP Top 2021 の最新版では、次のような結果になりました。
アクセス制御の不備(A01:2021)
Web アプリケーションにおけるアクセス制御の脆弱性の蔓延を反映し、最も深刻なセキュリティ リスクのあるカテゴリとして浮上しています。
根本的な原因:
不十分な承認チェック: ユーザーの権限やロールのチェックが不十分であるなど、アクセス制御が適切に実施されていない。
安全でない直接オブジェクト参照 (IDOR)適切な承認チェックを行わずに、ユーザーがパラメータ (URL やフォーム フィールドなど) を操作してリソースに直接アクセスできるようにします。
予測可能なリソースの場所: 予測可能な URL またはパスを介してリソースにアクセスできるようにすることで、権限のないユーザーが制限されたコンテンツを推測したり、ブルート フォース アクセスしたりできるようになります。
機能レベルのアクセス制御の欠如: 機能または特徴レベルでのアクセス制御の実装に失敗し、権限のないユーザーが特権アクションを実行できるようになります。
潜在的な影響:
データ侵害: 個人を特定できる情報 (PII)、財務記録、または専有情報を含む機密データへの不正アクセス。
権限昇格: 不正なユーザーが昇格された権限または管理者アクセスを取得し、システムのさらなる悪用や侵害につながります。
データ操作: 権限のないユーザーが重要なデータを変更または削除し、データの損失、破損、整合性違反が発生します。
法的および規制上の影響: GDPR や HIPAA などのコンプライアンス要件に違反すると、法的処罰、罰金、組織の評判の失墜につながります。
予防と軽減のための推奨戦略:
適切なアクセス制御を実装する: ユーザーに、役割またはタスクに必要なリソースと機能へのアクセスのみを許可するようにすることで、最小権限の原則 (PoLP) を適用します。
安全な間接オブジェクト参照を使用する内部オブジェクト参照をユーザーに直接公開しないようにし、承認されたリソースにマップされた間接参照を利用します。
強力な認証とセッション管理を採用する: 多要素認証 (MFA) などの強力な認証メカニズムを実装し、不正アクセスを防ぐために安全なセッション処理を確保します。
定期的なセキュリティテスト: 侵入テストやコードレビューなどの包括的なセキュリティ評価を実施し、アクセス制御の脆弱性を特定して対処します。
アクセスの監視と監査: ユーザー アクセスを追跡し、疑わしいアクティビティや不正なアクティビティをリアルタイムで検出するためのログ記録および監視メカニズムを実装します。
開発者と管理者の教育: 安全なコーディング方法、アクセス制御の原則、アクセス制御の不具合などの一般的な脆弱性に関するトレーニングおよび意識向上プログラムを開発者および管理者に提供します。
これらの根本的な原因に対処し、推奨される戦略を実施することで、組織は次のような悪用リスクを大幅に軽減できます。 壊れたアクセス制御 脆弱性を検出し、Web アプリケーションの全体的なセキュリティ体制を強化します。
暗号の失敗(A02:2021)
2 位に上昇し、機密データの漏洩やシステムの侵害を防ぐために暗号の脆弱性に対処することの重要性を強調しています。
根本的な原因:
弱い暗号化アルゴリズムブルートフォース攻撃や暗号の脆弱性の影響を受けやすい、古いまたは弱い暗号化アルゴリズム (MD5、SHA-1 など) の使用。
安全でない鍵管理: 弱いキー生成、不適切なキー保存、不適切なキー使用など、暗号化キーの管理が不十分なため、暗号化されたデータが侵害される可能性があります。
エントロピー不足: 暗号鍵または初期化ベクトル (IV) を生成する際のランダム性が不十分であるため、ブルートフォース攻撃や辞書攻撃などの暗号攻撃を受けやすくなります。
暗号ライブラリの不適切な使用: 暗号化ライブラリおよび API の誤用または誤った構成により、安全でない暗号化実装および脆弱性が生じます。
潜在的な影響:
データ漏洩攻撃者による暗号化データの復号化により機密情報が漏洩し、機密データへの不正アクセスが発生します。
データ整合性違反: 暗号化されたデータが検出なしに改ざんされ、データの破損、操作、または不正な変更につながる。
信頼の喪失暗号化の失敗やデータ漏洩により、組織の評判が損なわれ、顧客や利害関係者からの信頼が失われます。
規制違反: データの暗号化と保護に関する規制要件に準拠していない場合、法的措置や金銭的罰則の対象となります。
予防と軽減のための推奨戦略:
強力な暗号化アルゴリズムを使用する: 十分なキーの長さとセキュリティ パラメータを備えた最新の業界標準暗号化アルゴリズム (AES、RSA、ECC など) を活用して、堅牢な暗号化を実現します。
安全なキー管理: 該当する場合はハードウェア セキュリティ モジュール (HSM) を使用して、暗号化キーの安全な生成、保管、ローテーション、破棄などの安全なキー管理プラクティスを実装します。
十分なエントロピーを確保する: 暗号的に安全な疑似乱数ジェネレータ (CSPRNG) を使用するなど、暗号キーと初期化ベクトルを生成するための適切なエントロピー ソースを確保します。
ベストプラクティスに従う: 標準化団体 (NIST、ISO など)、暗号化ライブラリ、業界の専門家などによって提供される、確立された暗号化のベスト プラクティスとガイドラインを遵守します。
定期的なセキュリティ監査: 定期的に暗号監査と評価を実施し、暗号実装の弱点や脆弱性を特定し、速やかに対処します。
安全な構成: ベンダーの推奨事項とセキュリティ ガイドラインに従って、暗号化ライブラリと API を安全に構成し、一般的な暗号化の脆弱性を軽減します。
教育・トレーニング: 暗号化の失敗を回避するために、暗号化の概念、ベスト プラクティス、一般的な落とし穴に関するトレーニングおよび意識向上プログラムを開発者および管理者に提供します。
これらの根本的な原因に対処し、推奨される戦略を実装することで、組織は暗号化防御を強化し、暗号化障害のリスクを軽減し、機密データを不正アクセスや操作から保護することができます。
注射(A03:2021)
広範な認識とテストの取り組みにもかかわらず、インジェクション攻撃による脅威が依然として存在する点を強調します。
根本的な原因:
入力検証の欠如: 動的クエリまたはコマンドで使用する前に、ユーザーが指定した入力を適切に検証およびサニタイズできませんでした。
動的クエリの不適切な使用: 適切なパラメータ化やエスケープを行わずにユーザー入力を連結して、SQL クエリ、LDAP クエリ、またはその他の動的コマンドを構築すること。
安全でない補間: 適切なエスケープやエンコードを行わずに、ユーザーが制御するデータを解釈された文字列またはコマンドに直接埋め込むこと。
出力エンコーディングが不十分: 動的な Web ページまたはテンプレートでレンダリングする前に、ユーザーが生成したコンテンツを適切にエンコードまたはサニタイズできない。
潜在的な影響:
データ侵害: 個人を特定できる情報 (PII)、財務記録、認証資格情報など、データベースに保存されている機密情報への不正アクセス。
データ操作データベース内の重要なデータの変更または削除により、データの破損、整合性違反、または不正なトランザクションが発生します。
サーバーの侵害インジェクション攻撃は、サーバー上で任意のコードを実行するために使用され、サーバーの侵害、データの流出、システムのさらなる悪用につながる可能性があります。
サービス拒否(DoS)インジェクション攻撃は、サーバーの過負荷、リソースの枯渇、システムクラッシュを引き起こし、Web アプリケーションの可用性を低下させる可能性があります。
予防と軽減のための推奨戦略:
パラメータ化されたクエリを使用するデータベースのやり取りにおけるインジェクション攻撃を防ぐために、動的 SQL 構築よりも、バインドされたパラメータを持つパラメータ化クエリ (準備されたステートメント) を優先します。
入力の検証とサニタイズ: ユーザーが指定したすべての入力を検証およびサニタイズして、想定される形式に準拠していること、および悪意のある文字やペイロードが含まれていないことを確認します。
最小特権の原則: アプリケーション アカウントのデータベース権限とアクセス権を制限して、インジェクション攻撃が発生した場合の影響を軽減します。
ORMまたは安全なAPIを使用する: オブジェクトリレーショナルマッピング (ORM) フレームワークまたはプログラミング言語やプラットフォームによって提供される安全な API を利用して、データベースのやりとりを抽象化し、インジェクションの脆弱性を防止します。
出力エンコーディング: 悪意のあるスクリプトやコマンドの挿入を防ぐために、ユーザーが生成したコンテンツを HTML、JavaScript、SQL などのコンテキストでレンダリングする前にエンコードします。
セキュリティテスト: 侵入テストやコードレビューなどの定期的なセキュリティ評価を実行し、アプリケーション コードベースのインジェクション脆弱性を特定して対処します。
パッチとアップデートの依存関係: 既知のインジェクション脆弱性を軽減するために、最新のセキュリティ パッチと修正プログラムを使用してソフトウェア依存関係 (ライブラリ、フレームワーク、データベース) を最新の状態に保ちます。
開発者を教育する: 安全なコーディングの実践、インジェクションの脆弱性、防止と軽減のテクニックに関するトレーニングと意識向上プログラムを開発者に提供します。
これらの推奨戦略を実装し、セキュリティに対して積極的なアプローチを採用することで、組織はインジェクション脆弱性のリスクを軽減し、Web アプリケーションを悪用や侵害から保護することができます。
安全でない設計 (A04:2021)
新しいカテゴリとして導入され、堅牢な脅威モデリングと安全な設計プラクティスを通じて設計上の欠陥に対処することの重要性を強調しています。
根本的な原因:
設計上のセキュリティの欠如ソフトウェア開発ライフサイクルの設計フェーズでセキュリティ要件を考慮していない。
過度に許容的なアクセス制御ユーザーやコンポーネントに不要な権限を付与するなど、過度に許容度の高いアクセス制御を使用してシステムを設計すること。
不十分な脅威モデル設計プロセスの早い段階で潜在的なセキュリティの脅威と脆弱性を特定するための包括的な脅威モデリングを実施できなかった。
不十分な関心の分離: セキュリティ上重要なコンポーネントとセキュリティ上重要でないコンポーネントを同じシステムまたはモジュール内に混在させると、攻撃対象領域が拡大し、複雑さが増します。
潜在的な影響:
攻撃面の増加: 安全でない設計上の決定により、攻撃対象領域が拡大し、攻撃者が脆弱性を悪用してシステムを侵害する機会が増える可能性があります。
修復の難しさ: 安全でない設計上の欠陥はシステムのアーキテクチャに深く根付いている可能性があり、実装後に修正するのが困難でコストがかかる場合があります。
データ侵害: 安全でない設計は脆弱性を招き、機密データへの不正アクセスを可能にし、データ漏洩やプライバシー侵害につながる可能性があります。
規制違反セキュリティ設計のベスト プラクティスとコンプライアンス要件を遵守しないと、法的措置、罰金、組織の評判の失墜につながる可能性があります。
予防と軽減のための推奨戦略:
デザインによるセキュリティ脅威のモデル化、リスク評価、セキュリティ要件の分析など、ソフトウェア開発ライフサイクルの設計フェーズにセキュリティに関する考慮事項を組み込みます。
最小権限の原則 (PoLP): 最小権限の原則を適用して、ユーザーとコンポーネントが意図した機能を実行するために必要なアクセス権と許可のみに制限します。
関心事の分離セキュリティ侵害の影響を最小限に抑え、メンテナンスと更新を容易にするために、セキュリティ上重要なコンポーネントとそうでないコンポーネントを明確に分離したシステムを設計します。
セキュリティアーキテクチャのレビュー定期的にセキュリティ アーキテクチャのレビューを実施して、システムのセキュリティ体制を評価し、開発プロセスの早い段階で設計上の欠陥や脆弱性を特定します。
安全なデフォルト: システム構成、設定、およびアクセス制御に安全なデフォルトを使用して、誤った構成のリスクを軽減し、セキュリティのベースライン レベルを確保します。
脅威モデリング: 包括的な脅威モデリング演習を実行して、システムのライフサイクル全体にわたってリスクを軽減するために必要な潜在的な脅威、攻撃ベクトル、およびセキュリティ制御を特定します。
セキュリティトレーニングと意識向上: セキュリティ意識とベストプラクティスの文化を促進するために、開発者、アーキテクト、関係者に継続的なセキュリティトレーニングと意識向上プログラムを提供します。
これらの推奨戦略を採用し、セキュリティ上の考慮事項をソフトウェア システムの設計とアーキテクチャに統合することで、組織は安全でない設計の脆弱性の可能性を減らし、より回復力があり安全なアプリケーションを構築できます。
セキュリティの誤った構成 (A05:2021)
ランキングが上昇し、脆弱性を軽減するためにソフトウェア コンポーネントを安全に構成することの重要性が強調されています。
根本的な原因:
デフォルトの設定ソフトウェア コンポーネント、フレームワーク、またはプラットフォームのデフォルト設定または構成を変更しないこと。これには、安全でないデフォルトや、デフォルトで有効になっている不要な機能が含まれる可能性があります。
不適切な権限ファイル、ディレクトリ、データベース、またはその他のリソースに対するアクセス制御、権限、または特権が誤って構成されているため、不正アクセスや特権の昇格が可能になります。
古いソフトウェアソフトウェア コンポーネントにセキュリティ パッチ、更新、またはホットフィックスを適用せず、既知の脆弱性が修正されずに悪用される状態。
未使用のサービス: 不要なサービス、ポート、またはプロトコルを有効またはアクセス可能なままにしておくと、攻撃対象領域が拡大し、攻撃者に潜在的な侵入ポイントを提供します。
潜在的な影響:
データ侵害セキュリティ構成が誤っていると、データベース、ファイル システム、またはその他のリポジトリに保存されている機密データへの不正アクセスが発生し、データ漏洩やプライバシー侵害が発生する可能性があります。
システムの侵害: 攻撃者は誤った構成を悪用してサーバー、アプリケーション、またはインフラストラクチャ コンポーネントを侵害し、データの損失、サービスの中断、サーバーの侵害を引き起こす可能性があります。
規制違反セキュリティ構成のベスト プラクティスとコンプライアンス要件を遵守しないと、法的措置、罰金、組織の評判の失墜につながる可能性があります。
信頼の喪失セキュリティ構成の誤りにより、組織のデータや機密情報を保護する能力に対する顧客の信頼と自信が損なわれ、評判の失墜やビジネスの損失につながる可能性があります。
予防と軽減のための推奨戦略:
セキュア構成ガイド: システムを安全に構成するには、ソフトウェア ベンダー、業界標準化団体、セキュリティ組織が提供する安全な構成ガイドとベスト プラクティスに従ってください。
定期的なセキュリティ監査: 脆弱性スキャンや侵入テストなどの定期的なセキュリティ監査と評価を実施し、システム内の誤った構成や脆弱性を特定します。
自動構成管理: 自動化された構成管理ツールとスクリプトを使用して、すべてのシステムと環境にわたって一貫性のある安全な構成を適用します。
最小特権の原則: 最小権限の原則 (PoLP) を適用して、アクセス権と許可を、ユーザーとコンポーネントが目的の機能を実行するために必要なものだけに制限します。
パッチ管理: すべてのソフトウェア コンポーネントと依存関係のセキュリティ パッチ、更新、修正がタイムリーに展開されるように、堅牢なパッチ管理プロセスを実装します。
強化ガイドライン: サーバー、アプリケーション、データベース、およびその他のインフラストラクチャ コンポーネントに強化ガイドラインとセキュリティ ベースラインを適用して、攻撃対象領域を減らし、一般的なセキュリティ リスクを軽減します。
継続的モニタリング: 継続的な監視とログ記録のメカニズムを実装して、セキュリティの誤った構成、不正な変更、疑わしいアクティビティをリアルタイムで検出し、警告します。
セキュリティトレーニングと意識向上: 管理者、開発者、その他の関係者にセキュリティのベスト プラクティスと安全な構成の重要性について教育するための継続的なセキュリティ トレーニングと意識向上プログラムを提供します。
これらの推奨戦略を実装し、セキュリティ構成管理に対してプロアクティブなアプローチを採用することで、組織はセキュリティ構成ミスのリスクを軽減し、システムとアプリケーションの全体的なセキュリティ体制を強化できます。
脆弱なコンポーネントと古いコンポーネント (A06:2021)
サードパーティ コンポーネントの脆弱性を特定して対処することに関連する課題を反映して、重要性が高まっています。
根本的な原因:
依存関係の更新の失敗: サードパーティのライブラリ、フレームワーク、またはコンポーネントを最新の安全なバージョンに更新せず、既知の脆弱性を修正しないままにします。
視認性の欠如アプリケーション コードベース内でのサードパーティ コンポーネントの使用とその依存関係の可視性が不十分であるため、脆弱性の追跡と管理が困難になります。
安全でないデフォルト: 安全でない機能、不要な機能、または弱いセキュリティ制御を含む可能性のあるサードパーティ コンポーネントのデフォルトの構成または設定を使用すること。
依存関係の拡大: セキュリティ上の影響を適切に検証または考慮せずにサードパーティの依存関係またはライブラリに過度に依存すると、攻撃対象領域が拡大し、潜在的な脆弱性が生じます。
潜在的な影響:
既知の脆弱性の悪用: 攻撃者は、古いコンポーネントの既知の脆弱性を悪用してアプリケーションのセキュリティを侵害し、データ侵害、不正アクセス、その他のセキュリティ インシデントを引き起こす可能性があります。
データ侵害: 古いコンポーネントの脆弱性により、個人を特定できる情報 (PII)、財務記録、知的財産などの機密データへの不正アクセスが発生し、データ漏洩やコンプライアンス違反につながる可能性があります。
信頼の喪失: 脆弱で古いコンポーネントが原因でセキュリティ インシデントが発生すると、組織のデータと機密情報を保護する能力に対する顧客の信頼と自信が損なわれ、評判の失墜やビジネスの損失につながる可能性があります。
規制違反: 脆弱なコンポーネントを更新せず、セキュリティのベスト プラクティスを遵守しないと、業界の規制やデータ保護法に違反することになり、法的措置、罰金、罰則の対象となる可能性があります。
予防と軽減のための推奨戦略:
在庫と可視性アプリケーションで使用されるすべてのサードパーティ コンポーネントと依存関係 (バージョンと潜在的な脆弱性を含む) の最新のインベントリを維持します。
パッチとアップデートの管理: 堅牢なパッチ管理プロセスを実装して、サードパーティのコンポーネントを最新の安全なバージョンに定期的に更新し、既知の脆弱性とセキュリティの問題に対処します。
脆弱性スキャン: 定期的な脆弱性スキャンと評価を実施して、サードパーティ コンポーネントの脆弱性を特定し、優先順位を付け、早急な対応が必要な重大な問題やリスクの高い問題に重点を置きます。
依存関係管理: 依存関係管理ツールとソフトウェア構成分析 (SCA) ツールを使用して、サードパーティの依存関係を追跡および管理し、脆弱性を自動的に検出し、安全な使用ポリシーを適用します。
ベンダーとコミュニティのサポート: サードパーティベンダーやオープンソースコミュニティによってリリースされたセキュリティアドバイザリ、パッチ、およびアップデートについて最新情報を入手し、既知の脆弱性を軽減するためにそれらを速やかに適用します。
静的および動的分析アプリケーション コードの静的および動的分析を実行して、未使用または不要な依存関係を識別して削除し、攻撃対象領域を減らして脆弱性のリスクを最小限に抑えます。
安全なコーディングの実践: サードパーティのコンポーネントを統合するときは、安全なコーディングのプラクティスとガイドラインに従い、それらが安全に使用され、適切に構成されていることを確認して、潜在的なセキュリティ リスクを軽減します。
継続的モニタリング: 継続的な監視とログ記録のメカニズムを実装して、脆弱で古いコンポーネントに関連するセキュリティ インシデントを検出して警告し、タイムリーな対応と修復を可能にします。
これらの推奨戦略を実装し、サードパーティの依存関係を管理するための積極的なアプローチを採用することで、組織は脆弱で古いコンポーネントから生じる脆弱性のリスクを軽減し、アプリケーションの全体的なセキュリティ体制を強化できます。
識別および認証の失敗(A07:2021)
下方にシフトし、認証メカニズムの改善を示しますが、識別プロセスにおける継続的な課題が浮き彫りになります。
根本的な原因:
弱い資格情報: 一般的な辞書の単語、デフォルトのパスワード、個人情報に基づいたパスワードなど、弱いパスワードや簡単に推測できるパスワードを使用すると、攻撃者がユーザー アカウントを侵害しやすくなります。
安全でない認証メカニズム: プレーンテキストまたは弱いパスワード暗号化、多要素認証 (MFA) の欠如、不十分なセッション管理制御など、安全でない認証メカニズムの実装。
強力な認証ポリシーの適用の失敗強力なパスワード ポリシー、パスワードの有効期限、またはアカウント ロックアウト メカニズムの適用が不十分なため、攻撃者がブルート フォース攻撃や資格情報の推測を行う可能性があります。
不十分なユーザー認証: 認証プロセス中のユーザー ID の確認が不十分 (ID 確認の質問が弱い、または存在しないなど) で、攻撃者が正当なユーザーになりすます可能性があります。
潜在的な影響:
不正アクセス: 識別および認証の失敗により、機密情報、システム、またはリソースへの不正アクセスが発生し、攻撃者がデータを盗んだり、システムを操作したり、悪意のあるアクティビティを実行したりできるようになります。
データ侵害: 侵害されたユーザー資格情報を使用すると、データベースに保存されている機密データにアクセスでき、データ漏洩、プライバシー侵害、機密情報の漏洩につながる可能性があります。
アカウントの乗っ取り: 攻撃者は識別と認証の失敗を悪用してユーザー アカウントを乗っ取り、正当なユーザーになりすまし、侵害されたアカウントに代わって不正なアクションを実行する可能性があります。
経済的な損失金融口座またはシステムへの不正アクセスは、金銭的損失、不正取引、資金の盗難につながり、個人と組織の両方に影響を及ぼす可能性があります。
予防と軽減のための推奨戦略:
強力なパスワードポリシー: 最小の長さ、複雑さ、定期的なパスワードのローテーションなどの要件を含む強力なパスワード ポリシーを適用して、弱いパスワードや簡単に推測できるパスワードのリスクを軽減します。
多要素認証(MFA): 多要素認証 (MFA) を実装して、ワンタイム パスワード (OTP)、生体認証、ハードウェア トークンなど、パスワード以外のセキュリティ層を追加します。
安全な認証メカニズム: 安全に保存されたハッシュ化およびソルト化されたパスワード、転送中の認証資格情報の暗号化、安全なセッション管理プラクティスなどの安全な認証メカニズムを使用します。
アカウントのロックアウトのメカニズム: ログイン試行が一定回数失敗するとユーザー アカウントをロックすることで、ブルート フォース攻撃や不正アクセス試行を防ぐアカウント ロックアウト メカニズムを実装します。
ユーザー教育: 強力なパスワード、安全な認証方法、フィッシング攻撃の認識の重要性についてユーザーを教育し、資格情報の漏洩の可能性を減らします。
継続的モニタリング: 認証イベントの継続的な監視とログ記録を実装し、複数回のログイン試行の失敗や異常なログイン パターンなどの疑わしいアクティビティを検出して対応します。
IDとアクセス管理(IAM): 堅牢な ID およびアクセス管理 (IAM) ポリシーと制御を実装して、ユーザー ID、ロール、権限を効果的に管理し、最小限の権限アクセスと適切な職務分離を確保します。
定期的なセキュリティ監査: 定期的にセキュリティ監査と認証メカニズムの評価を実施し、識別や認証の失敗につながる可能性のある脆弱性、誤った構成、弱点を特定します。
これらの推奨戦略を実装し、識別と認証のセキュリティに対して積極的なアプローチを採用することで、組織は不正アクセス、データ侵害、アカウント乗っ取りのリスクを軽減し、システムとアプリケーションの全体的なセキュリティ体制を強化できます。
ソフトウェアおよびデータ整合性の障害(A08:2021)
悪用を防ぐためにソフトウェアの整合性とデータの整合性を検証することの重要性を強調した新しいカテゴリ。
根本的な原因:
データ検証の欠如: 外部ソースからの入力データの検証とサニタイズが失敗し、データの破損、操作、またはインジェクション攻撃が発生する可能性があります。
安全でないファイル処理: ファイルタイプの検証が不十分、ファイルの整合性チェックが不十分、ファイルの保存方法が安全でないなど、ユーザーがアップロードしたファイルの不適切な処理。
安全でないデータ転送: 機密情報のプレーンテキスト送信や暗号化の欠如など、安全でないチャネルを介した送信中のデータ保護が不十分です。
悪意のあるコードインジェクションSQL インジェクション、クロスサイト スクリプティング (XSS)、リモート コード実行の脆弱性など、ソフトウェアまたはデータ リポジトリへの悪意のあるコードの挿入。
潜在的な影響:
データの破損ソフトウェアおよびデータの整合性の障害により、財務記録、顧客情報、システム構成などの重要なデータが破損したり、改ざんされたりする可能性があります。
信頼の喪失: データ整合性の障害により、システムとアプリケーションの整合性と信頼性に対する信頼と信用が損なわれ、評判の失墜やビジネスの損失につながる可能性があります。
セキュリティ違反: 整合性の失敗を悪用すると、セキュリティ侵害、機密情報への不正アクセス、またはシステム整合性の侵害が発生し、金銭的損失や法的結果につながる可能性があります。
業務の中断: データ整合性の障害により業務運営が中断され、ダウンタイム、サービスの中断、生産性の低下が発生し、社内の利害関係者と外部の顧客の両方に影響が及ぶ可能性があります。
予防と軽減のための推奨戦略:
入力の検証: 外部ソースからのすべてのデータ入力が検証され、サニタイズされてインジェクション攻撃やデータ破損を防ぐための強力な入力検証メカニズムを実装します。
安全なファイル処理: ファイル タイプの検証、ファイルの整合性チェックの実行、アップロードされたファイルを不正アクセスから保護された安全な場所に保存するなど、安全なファイル処理方法を実装します。
Encryption: 暗号化を使用して保存中および転送中のデータを保護し、強力な暗号化アルゴリズムと適切に管理された暗号化キーを使用して機密情報が暗号化されるようにします。
安全なコーディング プラクティス: インジェクション攻撃、安全でないファイル処理、不適切なデータ検証など、ソフトウェアおよびデータの整合性の障害につながる可能性のある一般的な脆弱性を軽減するには、安全なコーディング プラクティスとガイドラインに従います。
最小特権の原則: 最小権限の原則 (PoLP) を適用して、アクセス権と許可を、ユーザーとコンポーネントが目的の機能を実行するために必要なものだけに制限し、不正なデータ アクセスや操作のリスクを軽減します。
データの整合性チェック: チェックサムやデジタル署名などのデータ整合性チェックを実装して、データへの不正な変更を検出して防止し、ライフサイクル全体にわたってデータの整合性を確保します。
定期的なセキュリティ監査: 定期的なセキュリティ監査と評価を実施して、ソフトウェアやデータの整合性の障害につながる可能性のある脆弱性、誤った構成、弱点を特定し、速やかに是正措置を講じます。
継続的モニタリング: 継続的な監視とログ記録のメカニズムを実装して、疑わしいアクティビティや整合性違反をリアルタイムで検出して警告し、セキュリティ インシデントにタイムリーに対応して軽減できるようにします。
これらの推奨戦略を実装し、ソフトウェアとデータの整合性に対して積極的なアプローチを採用することで、組織は整合性障害のリスクを軽減し、機密情報を不正アクセスや改ざんから保護し、システムとアプリケーションの全体的なセキュリティ体制を強化できます。
セキュリティログと監視の失敗(A09:2021)
可視性とインシデント対応に影響を与えるより広範囲の障害を網羅するように再配置および拡張されました。
根本的な原因:
不十分な伐採認証の失敗、アクセス制御の失敗、疑わしいアクティビティなど、関連するセキュリティ イベントをキャプチャするための包括的なログ記録メカニズムを実装していない。
不十分な監視不正アクセス、データ侵害、悪意のあるアクティビティなどのセキュリティ インシデントを迅速に検出して対応するためのリアルタイムの監視およびアラート機能が不足しています。
不適切な構成: 十分なログ レベル、保持期間、またはログ データの安全な送信を有効にできないなど、ログ記録および監視システムの誤った構成により、範囲と可視性にギャップが生じます。
統合の欠如ログ記録および監視システムをセキュリティ情報およびイベント管理 (SIEM) プラットフォームまたはインシデント対応プロセスと統合できないため、効果的な脅威の検出と対応が妨げられます。
潜在的な影響:
遅延したインシデント対応セキュリティ ログ記録と監視の失敗により、セキュリティ インシデントの検出と対応が遅れ、攻撃者が環境内に留まり、機密データを盗み出す可能性があります。
リスクの増大セキュリティ イベントやアクティビティの可視性が不十分だと、脆弱性、構成ミス、不正アクセスが検出されないリスクが高まり、組織が悪用される危険性が高まります。
規制違反: 適切なログ記録および監視の実施を怠ると、業界の規制やデータ保護法に違反することになり、法的措置、罰金、罰則の対象となる可能性があります。
信頼の喪失セキュリティ ログ記録と監視の失敗により、組織のデータ保護能力とセキュリティ インシデント対応能力に対する顧客の信頼と自信が損なわれ、評判の低下やビジネスの損失につながる可能性があります。
予防と軽減のための推奨戦略:
包括的なロギング: サーバー、アプリケーション、ネットワーク、エンドポイントを含む IT インフラストラクチャ全体のセキュリティ関連のイベントとアクティビティをキャプチャするための包括的なログ記録メカニズムを実装します。
リアルタイム監視: 不正アクセスの試み、データ侵害、異常なアクティビティなどのセキュリティ インシデントを迅速に検出して対応するために、リアルタイムの監視およびアラート機能を導入します。
集中ロギング: 集中ログ ソリューションまたは SIEM プラットフォームを使用してログの収集と管理を集中化し、さまざまなソースからのログ データを集約、相関、分析して、脅威の検出とインシデント対応を改善します。
インシデント対応計画: 役割と責任、通信プロトコル、エスカレーション手順など、セキュリティ インシデントの検出、評価、対応の手順を概説したインシデント対応計画を策定し、維持します。
定期的な監査とテスト: ログ記録および監視システムの定期的な監査とテストを実施して、それらが正しく構成され、意図したとおりに機能し、セキュリティ インシデントを効果的に検出して警告できることを確認します。
セキュリティトレーニングと意識向上: セキュリティ チーム、IT 担当者、その他の関係者を対象に、ログ記録と監視の重要性、およびログ記録と監視システムを構成および管理するためのベスト プラクティスに関するトレーニングと意識向上プログラムを提供します。
継続的改善セキュリティ インシデントから学んだ教訓、脅威の状況の変化、セキュリティのログ記録と監視に関する新たなベスト プラクティスに基づいて、ログ記録と監視のプラクティスを継続的に評価および改善します。
これらの推奨戦略を実装し、セキュリティのログ記録と監視に対してプロアクティブなアプローチを採用することで、組織はセキュリティ インシデントを効果的に検出、対応、軽減する能力を強化し、不正アクセス、データ侵害、評判の失墜のリスクを軽減できます。
サーバーサイドリクエストフォージェリ(SSRF)(A10:2021)
コミュニティのフィードバックに基づいて追加され、発生率が比較的低いにもかかわらずこのリスクに対処することの重要性が強調されています。
根本的な原因:
入力検証の欠如: URL の構築や HTTP リクエストの作成に使用されるユーザー提供の入力を適切に検証およびサニタイズできない。
安全でない外部リソースへのアクセス: 適切な検証や制限なしに、アプリケーションが HTTP サーバーや FTP サーバーなどの外部リソースにリクエストを送信できるようにします。
プロキシ設定の誤り: プロキシ設定が不適切に構成されているため、攻撃者が制限を回避し、間接的に内部リソースにアクセスできるようになります。
安全でないAPIエンドポイント: 信頼できないユーザーに内部 API エンドポイントを公開し、内部システムまたはサービスに対して任意のリクエストを行えるようにします。
潜在的な影響:
不正アクセス: 攻撃者は SSRF の脆弱性を悪用して、外部に公開されることを意図していないファイル、データベース、管理インターフェースなどの機密性の高い内部リソースにアクセスする可能性があります。
データの盗難または漏洩SSRF 攻撃は、資格情報、知的財産、顧客データなど、内部システムに保存されている機密情報にアクセスすることで、データの盗難や漏洩につながる可能性があります。
サーバーの侵害: SSRF の脆弱性を悪用すると、内部サービスにアクセスしたり、サーバーからアクセス可能な脆弱なコンポーネントを悪用したりすることで、サーバーの侵害やリモート コード実行が発生する可能性があります。
アプリケーション層の攻撃SSRF の脆弱性は、アクセス制御のバイパス、サービス拒否 (DoS) 状態のトリガー、内部システムに対するサーバー側攻撃の実行など、アプリケーション層攻撃を開始するために使用される可能性があります。
予防と軽減のための推奨戦略:
入力検証とホワイトリスト: 攻撃者が SSRF の脆弱性を悪用するために使用される可能性のある悪意のある入力を提供することを防ぐために、URL とパラメータの厳格な入力検証とホワイトリストを実装します。
URL解析ライブラリ: 安全な URL 解析ライブラリまたはプログラミング言語で提供される組み込みの URL 処理関数を使用して、ユーザーが指定した URL を安全に解析および検証します。
外部リソースへのアクセスを制限する: 絶対に必要な場合を除き、アプリケーションまたはサーバー構成内から HTTP サーバーや FTP サーバーなどの外部リソースへのアクセスを制限または無効にします。
最小特権の原則: 最小権限の原則 (PoLP) を適用して、サーバー側コンポーネントの権限と機能を制限し、内部リソースへの必要なアクセスのみを許可します。
ネットワークセグメンテーションネットワーク セグメンテーションを実装して、内部システムとサービスを信頼できないネットワークから分離し、SSRF 攻撃の潜在的な影響を軽減し、攻撃者が機密リソースにアクセスする能力を制限します。
プロキシホワイトリスト: 信頼できるプロキシ サーバーをホワイトリストに登録し、それらのプロキシのみにアクセスを制限して、攻撃者が制限を回避して間接的に内部リソースにアクセスするのを防ぎます。
セキュリティテスト: 侵入テストや脆弱性スキャンなどの定期的なセキュリティ テストを実施し、アプリケーションおよびサーバー構成における SSRF の脆弱性を特定して軽減します。
安全なコーディングの実践アプリケーションの開発と構成時には、安全なコーディングのプラクティスとガイドラインに従い、開発ライフサイクル全体を通じて SSRF 防止などのセキュリティ上の考慮事項に対処します。
これらの推奨戦略を実装し、SSRF の防止と軽減に対する積極的なアプローチを採用することで、組織は SSRF の脆弱性によって生じる不正アクセス、データ侵害、およびサーバー侵害のリスクを軽減できます。
これらの更新は、進化する脅威に適応し、ソフトウェア開発における積極的なセキュリティ対策の重要性を強化するための継続的な取り組みを反映しています。
OWASPトップ10の脆弱性に対処するためのWebアプリケーションファイアウォール
信頼できる Webアプリケーションファイアウォール (WAF)など RELIANOIDは、OWASP Top 10の脆弱性で概説されているものを含む、様々な脅威からウェブアプリケーションを保護するために設計された、本質的に堅牢なセキュリティ対策です。信頼性の高いWAFが、これらの脆弱性それぞれにどのように対処できるのか、以下に説明します。
注射WAF は、SQL インジェクションや NoSQL インジェクションなどの悪意のあるコードの挿入について受信リクエストを検査し、アプリケーション サーバーに到達する前にブロックまたはサニタイズすることができます。
壊れた認証: WAF は、認証リクエストを監視し、強力な認証ポリシーを適用することで、不正アクセスの試み、ブルートフォース攻撃、アカウントの侵害を防ぐのに役立ちます。
機密データの露出WAF は、クレジットカード番号や個人識別情報 (PII) などの機密データへのアクセス試行を検出してブロックし、転送中のデータの暗号化を強制して漏洩を防止します。
XML 外部エンティティ (XXE)WAF は、外部エンティティへの参照に関する XML リクエストを検査し、それらをブロックして情報漏洩やサービス拒否を防ぐことで、XML 外部エンティティ (XXE) 攻撃を検出してブロックできます。
壊れたアクセス制御WAF は、アクセス制御ポリシーを適用し、アクセス試行を監視することで、アプリケーション内の機密リソースや機能への不正アクセスを防止するのに役立ちます。
セキュリティの構成ミスWAF は、ディレクトリ トラバーサル攻撃や構成ファイルへの不正アクセスなど、アプリケーションまたはサーバーの構成ミスを悪用するリクエストを検出してブロックできます。
クロスサイトスクリプティング(XSS)WAF は、ユーザーが指定した入力を検査してサニタイズすることで XSS 攻撃を検出してブロックし、ユーザーのブラウザで悪意のあるスクリプトが実行されるのを防ぎます。
安全でないデシリアライゼーションWAF は、シリアル化されたデータがアプリケーションによって処理される前に検査およびサニタイズすることで、安全でないデシリアル化の脆弱性を悪用する試みを検出してブロックできます。
既知の脆弱性を持つコンポーネントの使用WAF は、ライブラリやフレームワークなどのサードパーティ コンポーネントの既知の脆弱性に対するリクエストと応答を監視し、それらを悪用しようとする試みをブロックまたは警告します。
不十分なログ記録と監視: この脆弱性を直接軽減するものではありませんが、一部の WAF は、既存のログ記録および監視ソリューションを補完するログ記録および監視機能を提供し、セキュリティ イベントやインシデントに対する可視性をさらに高めます。
要約すると、信頼性の高い Web アプリケーション ファイアウォール (WAF) は、一般的な Web アプリケーションの脅威に対するプロアクティブな保護を提供し、組織がアプリケーションとデータを悪用や侵害から保護できるようにすることで、OWASP トップ 10 の脆弱性に対処する上で重要な役割を果たすことができます。
ダウンロード RELIANOID Webアプリケーションファイアウォール OWASP Top 10 の脆弱性を軽減し始めます。
関連ブログ
