OWASP Top 10
定義
OWASP Top 10はOpen Worldwide Application Security Projectが発行するWebアプリケーションの最重要脆弱性カテゴリ上位10件のリストで、3〜4年おきに業界データをもとに更新されます。2021年版の10カテゴリはアクセス制御の不備・暗号化の失敗・インジェクション・安全でない設計・セキュリティの設定ミス・脆弱・古いコンポーネント・識別と認証の失敗・ソフトウェアとデータの整合性の失敗・セキュリティログの不備・SSRF(サーバーサイドリクエストフォージェリ)です。開発者・セキュリティテスター・経営層が共通のリスク認識を持つための実用的な出発点として世界中で採用されており、PCI DSS・ISO 27001などのコンプライアンスでも参照されています。OWASP ASVS(Application Security Verification Standard)はTop 10をより詳細な要件レベルに展開したチェックリストで、セキュアコーディングの具体的な実装基準として活用できます。
関連用語
同じカテゴリの用語(フレームワーク)
脆弱性に付与される一意の識別番号。「CVE-2024-12345」の形式。MITRE Corporationが管理し、N…
脆弱性の深刻度を0〜10のスコアで表す業界標準指標。基本値・現状値・環境値の3つのスコアで構成。9以上が「緊急(Crit…
情報セキュリティ管理システム(ISMS)の国際規格。リスクベースのアプローチで情報資産を保護する管理体制を構築・運用・評…
実際に観測された攻撃者のTTP(戦術・技術・手順)を体系的にまとめたナレッジベース。14のタクティクスと200以上のテク…
NIST(米国標準技術研究所)が発行するサイバーセキュリティの管理フレームワーク。バージョン2.0では「統治・特定・防御…
Lockheed Martinが提唱する攻撃フェーズモデル。偵察→武器化→配送→エクスプロイト→インストール→C2→目的…