「OWASP Top 10」をはじめ、業界標準ガイドラインの改訂相次ぐ特集:セキュリティリポート裏話(8)(2/2 ページ)

» 2018年01月17日 05時00分 公開
[高橋睦美@IT]
前のページへ 1|2       

開発者やテスト担当者も巻き込み、開発ライフサイクル早期から取り組みを

 このように順位変動が幾つかあったが、だからといってこの10個の問題にさえ対応していればよいのだろうか。そうではない。そもそもOWASP Top 10 - 2017の冒頭には「10まででやめない」と明記されており、10位外に漏れたCSRFやServer-Side Request Forgery(SSRF)についても「考慮すべきリスク」として言及している。

 「OWASP Top 10はアプリケーションセキュリティを組織に導入するための『入り口』。ここから始めて、他の成果物も参照しながらアプリケーションセキュリティの強化や普及啓発を進めていってほしい」(岡田氏)。

 仲田氏も「『Application Security Verification Standard』(ASVS)をはじめ、OWASP Top 10にひも付いた他の文書を参考にしながら、セキュリティ向上に努めてほしい」と述べている。

 もう1つ注目したいポイントが、「セキュリティテスト担当者のための次のステップ」という項目だ。これまでのOWASP Top 10は、開発最終段階のセキュリティテスト、あるいは稼働後のペネトレーションテストの際に参照するもの、と位置付けられることが多かった。

 だが最新版は、「ソフトウェア開発ライフサイクル全体を視野に入れ、セキュリティ担当者はセキュリティテストだけをこなしていればよいのではなく、開発チームを巻き込むことや、組織としてテストをどう進めるか、戦略の部分にも踏み込んだ」(仲田氏)。

 OWASP Top 10 - 2017は、セキュリティ担当者だけでなく、モノ作りに携わる開発者、テスト担当者や調達責任者も巻き込んで、より「上流から」「前段階から」、積極的にセキュリティに取り組むことを推奨していることも特徴だという。

 例えば、OWASP Top 10に含まれている「安全でないデシリアライゼーション」「不十分なロギングとモニタリング」といった項目は、稼働後の診断で見つけてからでも対応が間に合う性質のリスクではない。「こうした問題は、ソフトウェア開発の前工程で、最初から盛り込んでおかなければ解決できない。セキュリティ担当者だけでなく、開発者、調達担当者にとっての手引きという色合いも強くなった」(岡田氏)

 文書冒頭には「OWASP Top 10はこれからも変化し続けます」と記されており、定期的に項目を見直し、確認することの重要性も指摘している。OWASP Top 10に限らず、さまざまなセキュリティガイドラインは、IT環境や脅威の変化、新たな脆弱性の発覚などに応じてこれからも変化するだろう。そうした最新の情報をキャッチアップし、自社システムに適合させる仕組み作りも重要だ。

 なお、日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japanとの共同ワーキンググループがまとめた「脆弱性診断を行うためのガイドライン」も、OWASP Top 10 - 2017の公表を受けて改訂を予定している。

特集:セキュリティリポート裏話

近年、効果的なセキュリティ対策を実施するには、脅威の最新動向を常にウオッチし、分析することが欠かせません。その成果の一部が多数のセキュリティベンダーから「リポート」や「ホワイトペーパー」といった形で公開されています。この特集では、そんな各社最新リポートのポイントを解説するとともに、行間から読み取れるさまざまな背景について紹介していきます。



前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。