OWASP Top 10は、ウェブアプリケーションのセキュリティリスクに関して最も広く認識されている標準です。開発者、セキュリティエンジニア、ビジネスリーダーのいずれであっても — このガイドは、実世界の例、検出技術、修復戦略と共にすべてのカテゴリを説明します。
ウェブアプリケーションに対する最も重要なセキュリティリスクをランク付けする定期的に更新される啓発文書です。数百の組織からのデータ分析、コミュニティ調査、実世界の侵害データに基づいています。PCI DSS、DORA、NIS2および多くの業界標準によって参照されています。
最も一般的な脆弱性第1位 — テストされたアプリケーションの94%で発見されています。
/api/users/123/profileを/api/users/124/profileに変更/admin/dashboardにアクセス以前は「機密データの露出」 — 根本原因に焦点を当てるために改名されました。
HSTSを使用してどこでもHTTPSを強制します。AES-256、bcrypt/Argon2、SHA-256+を使用します。シークレットをハードコードしない — VaultまたはAWS Secrets Managerを使用します。保存時のデータを暗号化します。TLS 1.0/1.1を無効にします。
古典的なウェブ脆弱性 — 20年後もトップ3に入っています。
' OR 1=1 --およびはるかに高度な攻撃すべてのDB相互作用にパラメータ化されたクエリを使用します。許可リストによる入力検証。コンテキストに応じた出力エンコーディング。Content Security Policyヘッダー。最小特権のDBアカウント。ORMを一貫して使用します。
新しいカテゴリ — 実装バグではなく、設計レベルの欠陥です。
修正: 設計フェーズに脅威モデリング(STRIDE、PASTA)を統合します。安全な設計パターンを使用します。ユースケースと並行して悪用ケースを作成します。
テストされたアプリケーションの90%で発見されています。
反復可能な堅牢化プロセス。不要な機能をすべて削除します。すべてのセキュリティヘッダーを実装します。IaCで構成管理を自動化します。定期的な構成監査。クラウド向けにCSPMを使用します。
修正: コンポーネントインベントリ(SBOM)を維持します。CVEデータベースを継続的に監視します。未使用の依存関係を削除します。Dependabot/Renovateで更新を自動化します。
MFAを実装します。侵害データベースチェックで強力なパスワードを強制します。認証エンドポイントでのレート制限。安全なセッション管理(ランダムID、HTTPOnly/Secureフラグ)。ログアウト/パスワード変更時にセッションを無効化します。
修正: すべてのソフトウェア/データにデジタル署名。外部リソースのサブリソース整合性(SRI)。アクセス制御と署名による安全なCI/CD。安全でないデシリアライゼーションを避ける — JSONを使用します。
侵害を特定するまでの平均時間:204日(IBM 2024)。適切なログ記録がなければ、攻撃者は永続性を確立し、データを流出させ、足場を拡大できます — すべてアラームをトリガーせずに。
修正: すべての認証イベント、アクセス制御の失敗、入力検証の失敗をログに記録します。コンテキスト(タイムスタンプ、ユーザー、IP、アクション)を含めます。改ざん耐性のあるSIEMでログを集中化します。自動アラートを実装します。検出機能を定期的にテストします。
新しいカテゴリ — クラウドネイティブアーキテクチャでの普及の増加により追加されました。
http://169.254.169.254/にアクセスすべてのユーザー提供URLをサーバー側で検証します。許可されたドメインの許可リストを使用します。プライベートIP範囲(10.x、172.16.x、169.254.x、127.x)をブロックします。不要なURLスキーム(file://、gopher://)を無効にします。AWSでIMDSv2を使用します。URL取得サービスをセグメント化します。
| OWASPカテゴリ | KENSAIカバレッジ |
|---|---|
| A01 壊れたアクセス制御 | IDORテスト、認可バイパス、CORSチェック |
| A02 暗号化の失敗 | TLS分析、ヘッダーチェック、暗号化検証 |
| A03 インジェクション | SQL、XSS、コマンドインジェクション、SSTI、ヘッダーインジェクション |
| A04 安全でない設計 | レート制限、予測可能なリソース、ロジックテスト |
| A05 セキュリティ設定ミス | ヘッダー、デフォルト、情報開示、HTTPメソッド |
| A06 脆弱なコンポーネント | テクノロジーフィンガープリント、332K+ CVEデータベース |
| A07 認証の失敗 | デフォルト認証情報、セッションテスト、クッキー分析 |
| A08 整合性の失敗 | SRIチェック、デシリアライゼーションテスト |
| A09 ログの失敗 | セキュリティヘッダー分析、エラー処理レビュー |
| A10 SSRF | 内部エンドポイントインジェクション、クラウドメタデータテスト |
壊れたアクセス制御(A01) — テストされたアプリケーションの94%で発見されています。これは位置5から位置1に移動し、特にAPIおよびSPAにおける認可の強制の広範な失敗を反映しています。
OWASP Top 10自体は任意です。ただし、PCI DSS(OWASP Top 10への対処が必要)、NIS2(体系的な脆弱性管理を期待)、DORA(業界標準テストを参照)、および多くのベンダー評価によって参照されています。実際には、事実上必須です。
自動DASTツールは、ほとんどのカテゴリを効果的に検出します — 特にインジェクション(A03)、暗号化の失敗(A02)、設定ミス(A05)、脆弱なコンポーネント(A06)です。安全でない設計(A04)やログの失敗(A09)などの一部のカテゴリは、手動評価を必要とすることがよくあります。幅広い自動スキャン+深さのための手動テストを使用します。
3〜4年ごとです。主要なリリース:2013、2017、2021。各更新は脅威の状況の変化を反映しています — 2021年の更新では、安全でない設計(A04)とSSRF(A10)が導入され、他のものが再編成されました。
セキュリティは任意ではありません。
🗡️ KENSAIチーム
Get a free security scan of your website in 60 seconds
Free Security Scan →