OWASP Top 10は、Webアプリケーションセキュリティリスクに関する最も広く認知された標準です。開発者、セキュリティエンジニア、ビジネスリーダーのいずれであっても、このガイドでは実例、検出技術、修正戦略とともにすべてのカテゴリを解説します。
Webアプリケーションに対する最も重大なセキュリティリスクをランク付けする、定期的に更新される啓発文書です。数百の組織からのデータ分析、コミュニティ調査、実際の侵害データに基づいています。PCI DSS、DORA、NIS2など、多くの業界標準で参照されています。
最も一般的な脆弱性 第1位 — テスト対象アプリケーションの94%で発見。
/api/users/123/profileを/api/users/124/profileに変更/admin/dashboardにアクセス以前は「機密データの露出」— 根本原因に焦点を当てるため改名されました。
HSTSでHTTPSをどこでも強制。AES-256、bcrypt/Argon2、SHA-256+を使用。シークレットをハードコードしない — VaultまたはAWS Secrets Managerを使用。保存データを暗号化。TLS 1.0/1.1を無効化。
古典的なWeb脆弱性 — 20年以上トップ3に残り続けています。
' OR 1=1 --およびさらに高度な攻撃すべてのDB操作にパラメータ化クエリを使用。許可リストによる入力バリデーション。コンテキストに応じた出力エンコーディング。Content Security Policyヘッダー。最小権限のDBアカウント。ORMの一貫した使用。
新カテゴリ — 実装のバグではなく、設計レベルの欠陥。
修正:脅威モデリング(STRIDE、PASTA)を設計フェーズに統合。セキュアな設計パターンを使用。ユースケースとともに悪用ケースを記述。
テスト対象アプリケーションの90%で発見。
反復可能なハードニングプロセス。不要な機能をすべて削除。すべてのセキュリティヘッダーを実装。IaCによる設定管理の自動化。定期的な設定監査。クラウドにはCSPMを使用。
修正:コンポーネントインベントリ(SBOM)を維持。CVEデータベースを継続的に監視。未使用の依存関係を削除。Dependabot/Renovateで更新を自動化。
MFAを実装。侵害データベースチェックを含む強力なパスワードポリシーを適用。認証エンドポイントのレート制限。安全なセッション管理(ランダムID、HTTPOnly/Secureフラグ)。ログアウト/パスワード変更時にセッションを無効化。
修正:すべてのソフトウェア/データにデジタル署名。外部リソースにSubresource Integrity(SRI)を使用。アクセス制御と署名によるCI/CDのセキュリティ確保。安全でないデシリアライゼーションを回避 — JSONを使用。
侵害の特定にかかる平均時間:204日(IBM 2024年)。適切なログなしでは、攻撃者は永続化、データ窃取、足場の拡大を — すべてアラームを発せずに — 行えます。
修正:すべての認証イベント、アクセス制御の失敗、入力バリデーションの失敗をログ記録。コンテキスト(タイムスタンプ、ユーザー、IP、アクション)を含める。改ざん耐性のあるSIEMにログを集約。自動アラートを実装。検出能力を定期的にテスト。
新カテゴリ — クラウドネイティブアーキテクチャでの増加に伴い追加。
http://169.254.169.254/にアクセスしてIAM認証情報を取得ユーザー提供のすべてのURLをサーバーサイドで検証。許可ドメインの許可リストを使用。プライベートIP範囲(10.x、172.16.x、169.254.x、127.x)をブロック。不要なURLスキーム(file://、gopher://)を無効化。AWSではIMDSv2を使用。URL取得サービスをセグメント化。
| OWASPカテゴリ | KENSAIのカバレッジ |
|---|---|
| A01 アクセス制御の不備 | IDORテスト、認可バイパス、CORSチェック |
| A02 暗号化の失敗 | TLS分析、ヘッダーチェック、暗号化検証 |
| A03 インジェクション | SQL、XSS、コマンドインジェクション、SSTI、ヘッダーインジェクション |
| A04 安全でない設計 | レート制限、予測可能なリソース、ロジックテスト |
| A05 セキュリティ設定ミス | ヘッダー、デフォルト値、情報漏洩、HTTPメソッド |
| A06 脆弱なコンポーネント | 技術フィンガープリンティング、332K以上のCVEデータベース |
| A07 認証の失敗 | デフォルト認証情報、セッションテスト、Cookie分析 |
| A08 整合性の失敗 | SRIチェック、デシリアライゼーションテスト |
| A09 ログの失敗 | セキュリティヘッダー分析、エラーハンドリングレビュー |
| A10 SSRF | 内部エンドポイントインジェクション、クラウドメタデータテスト |
アクセス制御の不備(A01)— テスト対象アプリケーションの94%で発見されています。5位から1位に上昇し、特にAPIやSPAにおける認可の適用の広範な失敗を反映しています。
OWASP Top 10自体は任意です。しかし、PCI DSS(OWASP Top 10への対処を要求)、NIS2(体系的な脆弱性管理を期待)、DORA(業界標準のテストを参照)、および多くのベンダー評価で参照されています。実質的には義務と言えます。
自動DASTツールは、ほとんどのカテゴリ — 特にインジェクション(A03)、暗号化の失敗(A02)、設定ミス(A05)、脆弱なコンポーネント(A06)を効果的に検出できます。安全でない設計(A04)やログの失敗(A09)などの一部のカテゴリは手動評価が必要な場合があります。幅広いカバレッジには自動スキャン、深度には手動テストを使用してください。
3〜4年ごとです。主要リリース:2013年、2017年、2021年。各更新は脅威の状況の変化を反映しています — 2021年の更新では安全でない設計(A04)とSSRF(A10)が導入され、他のカテゴリが再編成されました。
セキュリティは選択肢ではありません。
🗡️ KENSAIチーム
Get a free security scan of your website in 60 seconds
Free Security Scan →