Cybersecurity Management News

サイバー空間における脅威を適切に管理するために必要なCybersecurity Managementの確立に役立つ管理策・規制・組織・運用などに関する情報を提供します。

2017年版のOWASP Top 10 rc1がリリース

2017年版のOWASP Top 10 rc1がリリースされました。これはまだ正式版ではなく、夏頃の正式版リリースに向けてコメントを受付中です。

Category:OWASP Top Ten Project - OWASP

2013年以来の更新になりますが、前回からの変更は以下の通りです。

以下の2項目が新たに追加

A7 – Insufficient Attack Protection

A10 – Underprotected APIs

2013年版にあった以下の項目が削除

A10 – Unvalidated Redirects and Forwards

2013年版にあった以下2つの項目がマージ

A4 – Insecure Direct Object References - Merged with A7

A7 – Missing Function Level Access Control

A4 – Broken Access Control

新たに追加された「A7 – Insufficient Attack Protection」では、How Do I Prevent This?として以下の3つがあげられています。

  1. Detect Attacks
    多くのアプリケーションやAPIは、不正な入力を検知してもただ拒否するだけなので、その後も攻撃者は繰り返し攻撃を行ってくる。管理者が適切な対応を行うためには、攻撃を受けていることに気がつける仕組みが必要だということです。
  2. Respond to Attacks
    攻撃を検知した場合に、攻撃元のIPアドレスを自動的にブロックするような対応が効果的であると述べられています。また、不審なユーザアカウントを無効にしたり監視対象とする対応が必要だということです。
  3. Patch Quickly
    (適時のパッチ適用が重要であることは当然ながら)もしクリティカルなパッチ適用を即日行うことができるプロセスが整備されていないのであれば、バーチャル・パッチの利用が有効であると述べられています。

上記3.Patch Quicklyの中で説明されているバーチャル・パッチですが、これはIDS/IPSやWAFによって攻撃通信を検知・ブロックする機能を指しています。トレンドマイクロ社のDeep Securityなど、IDS/IPSの機能名をVirtual Patchとしている製品もあります。ただし、機能名がVirtual Patchでない場合も、脆弱性や攻撃コードに対応したシグニチャが配信される一般的なIDS/IPS・WAFを用いた場合でも同等の効果を得られます。