「OWASP Top 10 2021」は 2017年版とどこが変わった? 診断会社のSHIFT SECURITYが解説資料公開 | ScanNetSecurity
2021.12.06(月)

「OWASP Top 10 2021」は 2017年版とどこが変わった? 診断会社のSHIFT SECURITYが解説資料公開

今回 SHIFT SECURITY が公開した資料は、約 4 年ぶりにアップデートされた OWASP Top 10 最新版が、前回の 2017 年版と比べて何が変わったのについて「カテゴリの変化」「順位の変動」「記載方法の変更」の 3 つの視点から新旧対照方式によって分析を試みている。

調査・レポート・白書 調査・ホワイトペーパー
 株式会社SHIFT SECURITYは 11 月 18 日、Webアプリケーションのセキュリティを研究する非営利の国際コミュニティ OWASP(The Open Web Application Security Project)が本年 9 月にアップデートした「OWASP Top 10 2021」の技術者向け解説資料「OWASP Top 10 2021の重要ポイントを2017と比較解説」を公開した。情報登録を行えば無料でダウンロードできる。

 OWASP Top 10 は、同コミュニティが公開する多数の優れたドキュメントのひとつで、Webアプリケーションが含みうる重大なセキュリティリスクをランキング形式で示すもので、2003 年にはじめて公開され、以降定期的にアップデートされており、最も信頼される Webアプリケーションセキュリティの情報源のひとつとして国際的に利用されている。

 今回 SHIFT SECURITY が公開した資料「OWASP Top 10 2021の重要ポイントを2017と比較解説」は、約 4 年ぶりにアップデートされた OWASP Top 10 最新版が、前回の 2017 年版と比べて何が変わったのについて「カテゴリの変化」「順位の変動」「記載方法の変更」の 3 つの視点から新旧対照方式によって分析を試みている。

カテゴリの変化

TOP10 2017から2021の順位の変動
 また、2021 年の更新で前回の 5 位から 1 位となった「アクセス制御の不備」、前回の 3 位から 2 位となった「暗号化の失敗」、前回の 1 位から 3 位となった「インジェクション」、業界の専門家の高い関心を集めた 10 位の「サーバーサイド・リクエスト・フォージェリ(SSRF)」の 4 つのリスクに関して、ソフトウェア開発者や脆弱性診断などに従事する技術者に向けた解説を行っている。

3位 インジェクション
 本資料をとりまとめたメンバーの一人である海瀬 秀晃(かいせ ひであき)氏は、SHIFT SECURITY社が実施する Web脆弱性診断の診断手法や診断品質担保を担当するチームのリーダーを務めており、同社の脆弱性診断メニューのうちゴールドプランはすでに「OWASP Top 10 2021」への適応を完了しているという。

 本誌取材に対し海瀬氏は「自社組織のセキュリティ対策の方針に則り、OWASP TOP10 に準拠する基準が存在するのであれば、適切に対応の指示と、準拠する基準の変更の判断を行う必要がある」と語った。

「OWASP Top 10 2021の重要ポイントを2017と比較解説」
発行年月日:2021年11月18日
発行:株式会社SHIFT SECURITY
形式:PDF / 27ページ / 1.4 MB
ダウンロード:https://www.shiftsecurity.jp/owasptop10_2021/

「OWASP Top 10 2021の重要ポイントを2017と比較解説」目次
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×