最も危険なウェブ上の脆弱性リストであるOWASP Top 10が4年ぶりに更新され、ランキングのトップに新たな脆弱性が登場しました。
前回の OWASP トップテンからいくつかのカテゴリーが変更されています。ここでは、カテゴリーの変更点を高レベルでまとめています。
2000年代半ばに作成されたこのリストは、世界中のセキュリティ専門家で構成された非営利財団「Open Web Application Security Project」が監修しています。
OWASP Top 10は公式文書ではありませんが、サイバーセキュリティの世界ではウェブベースのアプリに存在する脆弱性の重要性や深刻度を評価する方法としてよく使われています。
例えば、バグバウンティープラットフォームでは、すぐにパッチを適用する必要があるバグや、より高い金銭的報酬に値するバグを分類するためにOWASP Top 10のリストを使用しています。
OWASP の専門家は、通常 3~4 年に 1 度集まってトップ 10 ランキングを更新し、リストを上下させたりしています。
前回ランキングが更新されたのは2017年11月でしたが、2021年9月リストの全面的な刷新と新しい脆弱性まで登場する次期リストの草案を公開しました。
OWASP Top 10ランキング
1位:Broken Access Control
5位から順位を上げました。94%のアプリケーションが何らかの形でbroken access controlの攻撃を受けています。アクセス制御の破壊に該当する34のCWEは、他のどのカテゴリーよりもアプリケーションでの発生件数が多かった。
2位:暗号化の失敗
1つ順位を上げて2位となりました。以前は「機密データの露出」として知られていましたが、これは根本的な原因ではなく幅広い脆弱性でした。ここでは、機密データの露出やシステムの侵害につながることが多い暗号に関連する障害に焦点を当てています
3位:Injection
3位にランクダウンしました。94%のアプリケーションで何らかのインジェクションが確認されており、このカテゴリに分類された33のCWEは、アプリケーションでの発生回数が2番目に多いものとなっています。今回からクロスサイトスクリプティングもこのカテゴリに含まれるようになりました。
4位:安全でない設計
2021年に新設されたカテゴリーで、設計上の欠陥に関連するリスクに焦点を当てています。脅威モデル、安全な設計パターンと原則リファレンスアーキテクチャをより活用することが求められます。
5位:セキュリティの誤設定
前回の第6位から順位を上げました。アプリケーションの90%が何らかの形で誤設定されていることが確認されています。高度な設定が可能なソフトウェアへの移行が進む中で、このカテゴリーの順位が上がったのは自然なことで、従来の「XML External Entities(XXE)」はこのカテゴリーに含まれています。
6位:脆弱で時代遅れのコンポーネント
以前は「Using Components with Known Vulnerabilities」というタイトルで、2位でした。このカテゴリーは、2017年の9位から順位を上げ、テストやリスク評価に苦労する既知の問題となっています。このカテゴリは、含まれるCWEにマッピングされたCVEを持たない唯一のカテゴリであるため、デフォルトのエクスプロイトと影響度5.0がスコアに織り込まれています。
7位:Identification and Authentication Failures(識別および認証の失敗)
以前は「Broken Authentication(認証の失敗)」と呼ばれていましたが、第2位から後退し、より識別の失敗に関連するCWEが含まれるようになりました。このカテゴリは依然としてトップ10に含まれていますが、標準化されたフレームワークが利用できるようになったことがランクダウンの一因になっているようです。
8位:ソフトウェアおよびデータの完全性に関する障害
2021年に新設されたカテゴリーで、ソフトウェアの更新、重要なデータ、CI/CDパイプラインに関連して、完全性を検証せずに仮定することに焦点を当てています。CVE/CVSSのデータから最も重み付けされた影響の1つが、このカテゴリの10のCWEにマッピングされています。2017年の「Insecure Deserialization」は、この大きなカテゴリーの一部になっています。
9位:セキュリティログおよび監視の失敗
以前は「ログおよび監視の不足」という名前でしたが、業界の調査結果が反映され以前の第10位から順位が上がりました。このカテゴリは、より多くの種類の障害を含むように拡張されており、テストが困難で、CVE/CVSS のデータにはあまり反映されていません。しかし、このカテゴリーの障害は、可視性、インシデントアラート、フォレンジックに直接影響を与える可能性があります。
10位:Server-Side Request Forgery
発生率は比較的低く、テスト範囲は平均以上で、エクスプロイトやインパクトの可能性についても平均以上の評価が得られています。このカテゴリーは、現時点ではデータに示されていないものの、業界の専門家がこれは重要だと言っている意見が反映された形になっているようです。
また、2021年のランキングでは、2007年以来、「インジェクション」の脆弱性カテゴリーがランキングの上位に来ていませんでした。
その理由は、ウェブアプリはますます複雑になっており、多くの場合APIの集合体に過ぎず、それぞれに設定オプションがあり、それらを組み合わせると設定ミス・保護されていないエンドポイント・予期しない相互作用に対してアクセスが可能なままになってしまうからです。
2004年から今回の2021年版までのランキング10は以下の通りとなっています。
| 2021 | 2017 | 2013 |
|---|---|---|
| Broken Access Control | Injection | Injection |
| Cryptographic Failures | Broken Authentication | Broken Authentication and Session Management |
| Injection | Sensitive Data Exposure | Cross-Site Scripting (XSS) |
| Insecure Design | XML External Entities (XXE) | Insecure Direct Object References |
| Security Misconfiguration | Broken Access Control | Security Misconfiguration |
| Vulnerable and Outdated Components | Security Misconfiguration | Sensitive Data Exposure |
| Identification and Authentication Failures | Cross-Site Scripting (XSS) | Missing Function Level Access Control |
| Software and Data Integrity Failures | Insecure Deserialization | Cross-Site Request Forgery (CSRF) |
| Security Logging and Monitoring Failures | Using Components with Known Vulnerabilities | Using Components with Known Vulnerabilities |
| Server-Side Request Forgery | Insufficient Logging & Monitoring | Unvalidated Redirects and Forwards |
| 2010 | 2007 | 2004 |
|---|---|---|
| Injection | Cross-Site Scripting (XSS) | Unvalidated Input |
| Cross-Site Scripting (XSS) | Injection Flaws | Broken Access Control |
| Broken Authentication and Session Management | Malicious File Execution | Broken Authentication and Session Management |
| Insecure Direct Object References | Insecure Direct Object Reference | Cross Site Scripting |
| Cross-Site Request Forgery (CSRF) | Cross-Site Request Forgery (CSRF) | Buffer Overflow |
| Security Misconfiguration | Information Leakage and Improper Error Handling | Injection Flaws |
| Insecure Cryptographic Storage | Broken Authentication and Session Management | Improper Error Handling |
| Failure to Restrict URL Access | Insecure Cryptographic Storage | Insecure Storage |
| Insufficient Transport Layer Protection | Insecure Communications | Application Denial of Service |
| Unvalidated Redirects and Forwards | Failure to Restrict URL Access | Insecure Configuration Management |
Comments