OWASP Top 10
定義
OWASP Top 10はOpen Worldwide Application Security Projectが発行するWebアプリケーションの最重要脆弱性カテゴリ上位10件のリストで、3〜4年おきに業界データをもとに更新されます。2021年版の10カテゴリはアクセス制御の不備・暗号化の失敗・インジェクション・安全でない設計・セキュリティの設定ミス・脆弱・古いコンポーネント・識別と認証の失敗・ソフトウェアとデータの整合性の失敗・セキュリティログの不備・SSRF(サーバーサイドリクエストフォージェリ)です。開発者・セキュリティテスター・経営層が共通のリスク認識を持つための実用的な出発点として世界中で採用されており、PCI DSS・ISO 27001などのコンプライアンスでも参照されています。OWASP ASVS(Application Security Verification Standard)はTop 10をより詳細な要件レベルに展開したチェックリストで、セキュアコーディングの具体的な実装基準として活用できます。
関連用語
よくある質問
OWASP Top 10とは?
Open Web Application Security Projectが発行するWebアプリの最重要脆弱性Top 10リスト。2021年版ではアクセス制御の不備・暗号化の失敗・インジェクションなどがランクイン。3〜4年ごとに更新される。
同じカテゴリの用語(フレームワーク)
アプリ、グループ、サイトなど複数の権限を業務単位でまとめ、申請・承認・期限付きで付与する単位。…
既存のアクセス権が現在も必要かを、所有者や上長が定期的に再確認するプロセス。権限棚卸しの実務手法の一つ。…
ユーザー、グループ、管理者、外部共有、OAuthアプリなどのアクセス権が現在も妥当かを定期的に確認する活動。…
AIシステムの安全性、悪用耐性、プロンプト耐性、データ漏えいリスクを攻撃者視点で検証する評価活動。…
資産が事業やセキュリティに与える重要度。脆弱性対応、監視、復旧順序の優先度判断に使う。…
組織が保有・利用する端末、サーバー、SaaS、クラウド資産、データ、アカウントを一覧化した台帳。脆弱性管理や権限棚卸しの…