OWASP TOP 10 2021年版の紹介

2021年のトップ10で何が変わったか

3つの新しいカテゴリ、名前とスコープが変更された4つのカテゴリといくつかの統合されたカテゴリがあります。

Introduction to OWASP Top 10 2021
owasp.org

A01:2021-アクセス制御の不備

↑5位からアップ

アプリケーションの94%は、何らかの形のアクセス制御の不備についてテストされてます。34のCWEがアクセス制御の不備に紐づいており、アプリケーションのカテゴリで最も多く発生しました。

A02:2021-暗号化の不備

↑3位(機密データの漏洩)からアップ

以前の機密データの漏洩は根本的な原因ではなく広範な現象でした。ここで新たに焦点を当てているのは、機密データの漏洩やシステムの侵害につながることが多い暗号化に関連する不備です。

A03:2021-インジェクション

↓1位からダウン

アプリケーションの94%が何らかの形のインジェクションについてテストされてます。33のCWEがインジェクションに紐づいており、アプリケーションのカテゴリで2番目に多く発生しています。以前のクロスサイトスクリプティングはこのカテゴリに含まれます。

A04:2021-セキュアデザインの不備

NEW❗️

設計上の欠陥に関連するリスクに焦点を当てています。業界として真に”move left”したいのであれば、脅威モデリング、セキュアなデザインパターンと原則、およびリファレンス アーキテクチャの使用を増やす必要があります。

A05:2021-セキュリティの設定ミス

↑6位からアップ

アプリケーションの90%は、何らかの形の設定ミスについてテストされました。高度に構成可能なソフトウェアが増えるにつれ、このカテゴリーが上昇するのは当然のことです。以前のXML外部エンティティ(XXE)はこのカテゴリに含まれます。

A06:2021-脆弱で古いコンポーネント

↑9位(既知の脆弱性を持つコンポーネントの使用)からアップ

リスクのテストと評価に苦労している既知の問題です。含まれているCWEにCVEがマッピングされていない唯一のカテゴリであるため、デフォルトのエクスプロイトと影響の重み5.0がスコアに考慮されます。

A07:2021-識別と認証の不備

↓2位(認証の不備)からダウン

識別の不備に関連するCWEが含まれるようになりました。このカテゴリは依然としてトップ10に含まれていますが、標準化されたフレームワークの可用性の向上が役立っているようです。

A08:2021-ソフトウェアとデータの不整合

NEW❗️

整合性を検証せずにソフトウェアの更新、重要なデータ、およびCI / CDパイプラインに関連する移行を行うことに重点を置いています。10のCWEがソフトウェアとデータの整合性の障害に紐づいておりCVE / CVSSデータから最も大きい影響を受けています。以前の安全でないデシリアライゼーションはこのカテゴリに含まれます。

A09:2021-不十分なセキュリティのログ記録と監視

↑10位(不十分なログ記録と監視)からアップ

このカテゴリは、より多くの種類の障害を含むように拡張されており、テストが困難なためCVE / CVSSデータでは適切に表現されていません。 ただし、このカテゴリの障害は、可視性、インシデントアラート、およびフォレンジックに直接影響を与える可能性があります。

A10:2021-サーバーサイドリクエストフォージェリSSRF

NEW❗️

データはエクスプロイトの影響について平均以上の評価とともに、平均以上のテストカバレッジで比較的低い発生率を示しています。 このカテゴリは、現時点ではデータに示されていませんが、業界の専門家が重要であると言っているシナリオを表しています。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター