BLOG No.6 OWASP top10とModSecurity
OWASP(Open Web Application Security Project)は、Webアプリケーションのセキュリティ向上を⽬指す最⼤規模のオープンソースコミュニティです。⽇々発⽣するアプリケーションへの攻撃に対し最適な対応⼿段を提供すると共に、攻撃によるアプリケーション脆弱性のリスク(OWASP top10)を発表して対応を促しています。
ModSecurityはOWASPが管理すオープンソースのWAFエンジンであり、OWASPが提供するWAFルールセット(Core Rule Set)はModSecurityをターゲットにプログラミングされています。このため、OWASP top10で示すWebアプリケーションの脆弱性対策において、ModSecurityに向けたCore Rule Setを活用することが最も効果的なアプローチといえます。
OWASP top10は4年周期に改版が行われており、Webアプリケーションの脆弱性については2021年版が最新です。これとは別に2023年版でAPI(Applivation Programing Interface)向けの脆弱性、2024年版でモバイルアプリケーション向けの脆弱性がtop10として発表されています。本編ではWebアプリケーションの脆弱性を示したOWASP top 10について、以下に概要を記述します。以下の記述で、現在サービスを提供しているWebアプリケーションに思い当たる節があるようでしたら、脆弱性診断を実施されることをお勧めします。
|
A01 |
アクセス制御の不備 |
ユーザ認証によるセッション確立後に、リソースアクセスの制御が不十分なためにデータ漏えい等が発生する問題。ユーザ認証後も、重要データに対してはアクセスの検証が必要です。 |
|
A02 |
暗号化による障害 |
個人情報、金融や保険などの情報では、イントラネット内であってもデータの転送や保存で暗号化を徹底する必要あります。 |
|
A03 |
インジェクション |
Webアプリケーションインタープリタに対して不正なコンテンツで誤動作を発生させ、機密情報や保護領域へのアクセスを可能にする攻撃。コンテンツチェックの強化が必要になります。 |
|
A04 |
安全でない設計 |
アプリケーションの設計と開発段階でセキュリティポリシーの計画が不十分な状態で開発が進められた問題。問題点の個別対応での対策となり、不完全な状態での運用が強いられます。 |
|
A05 |
セキュリティの誤った構成 |
この項目の対象は多岐に渡ります。アプリケーションサーバ等に最新のパッチが導入されていない、不要な機能が有効になっている、デフォルトパスワードやアカウントを使用している、等の本来必要な作業を行わなかったための問題です。 |
|
A06 |
脆弱で古いコンポーネント |
アプリケーション開発で使用するサードパーティ製のライブラリやコンポーネントの脆弱性により、開発したアプリケーションに問題が発生することがあります。パッチの適応などの対策が必要になります。 |
|
A07 |
ユーザ識別と認証による障害 |
不適切な認証スキームやセッション管理が、権限の無いユーザを正当なユーザとして見做してしまうことが発生します。 |
|
A08 |
ソフトウェアとデータの整合性の障害 |
バージョンアップ等に伴うアプリケーションの更新やデータの配信で、十分な整合性の検証が弱いため、正常にデプロイしたソフトウェアが不適切なコードやデータで更新されてしまいます。 |
|
A09 |
セキュリティのログと監視の障害 |
不十分なシステムの異常検出やログ出力を行っていない等でデータ侵害を発見できず、長期間に渡り重要なデータの漏洩や欠陥のあるアプリケーションの改ざんで多大な損害を被るケースがあります。 |
|
A10 |
サーバー側のリクエスト偽造(SSRF) |
リモートリソースを利用するアプリケーション等で、本来アクセスできないサイトのURLを不正に生成することで、情報の改ざんや漏洩が発生する問題です。 |
By ADC Engineers
