OWASP（オープン Web アプリケーションセキュリティプロジェクト）は、セキュア Web アプリケーションの構築と維持に役立つガイダンスやツールを提供することで知られている、非営利団体です。OWASP は 3 〜 4 年ごとに、「OWASP Top 10」という名前の、Web アプリケーションのセキュリティに関する 10 大リスクを詳しく解説したレポートを発表しています。OWASP は今週、2017 年版「OWASP Top 10」の最初の暫定版を発表しましたが、これは、2013 年版レポートに代わるものです。今年夏に発表予定の最終文書で若干の改訂が行われる可能性がありますが、主な推奨事項については変更されない見込みです。

2013 年版「OWASP Top 10」のリスクのうちの 2 つが統合され、1 つ が完全に削除され、新たに 2 つのリスクが追加される予定です。OWASP は 2007 年に、「Broken Access Control（アクセス制御の不徹底）」というリスクカテゴリを 2 つの新しいカテゴリ、すなわち、「Insecure Direct Object References（安全ではないオブジェクト直接参照）」と「Missing Functional Level Access Control（機能レベルアクセス制御の欠落）」に分割しました。2017 年版レポートの変更の一部として、これら 2 つのカテゴリが「Broken Access Control（アクセス制御の不徹底）」にマージされる予定です。OWASP はさらに、2013 年版レポートにあった 10 番目のリスクである「Unvalidated Redirects and Forwards（未検証のリダイレクトとフォワード）」を削除することにしています。

以上のマージと削除によって、2017 年版レポートにまったく新しいリスクカテゴリを 2 つ追加するスペースができたことになります。最初の新しいリスクである「Insufficient Attack Protection（不十分な攻撃対策）」は、実行中に異常なネットワークトラフィックや入力が生成される攻撃が急増していることを示しています。広く使われている脆弱性スキャナでは、異常な数の要求が生成されます。OWASP は、このリスクの対策として、WAF（Web アプリケーションファイアウォール）または IPS（侵入防止システム）を実装して予期しないトラフィックを検出して対応することを推奨しています。

Top 10 に追加される 2 つ目の（10 番の）新しいカテゴリは、保護されていない API（アプリケーションプログラムインタフェース）に関連するリスクの存在を浮き彫りにするものです。OWASP はこのカテゴリの説明で、UI（ユーザインタフェース）がなく、通信に複雑なプロトコルとデータ構造を使用しているために、API の脆弱性をテストするのが難しい場合が多いと指摘しています。攻撃の一例として、OWASP は、要求で送られてきた口座番号を検証しない金融取引アプリケーションを紹介し、このような例では、攻撃者が異なる認証情報を使って異なるユーザの口座を変更できてしまうと説明しています。偶然にも、これと同じ種類の脆弱性がウォッチガード脅威ラボで進行中の IoT 調査研究プロジェクトで今年初めに発見され、責任ある方法で製造元に報告されました。OWASP はこのリスクに対して、API への通信の認証と保護、攻撃に対抗するための API の強化などの対策を推奨しています。

OWASP Top 10 は、Web アプリケーションのセキュリティの実装と検証の際に参考になる、最良のリソースの 1 つです。企業や組織において Web アプリケーションのセキュリティ対策を主導する責任者は、このレポートに記載されている推奨事項によく読み、十分に理解する必要があるでしょう。
– Marc Laliberte