[2020年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。
[2020年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
資料を無料ダウンロード

あなたの困り事は誰かが解決している! あなたの知らないセキュリティ関連ドキュメントの世界【第2回】

セキュリティ対策というと難しく考えがちですが、イチから自分で考えなくても先人たちの知恵の結晶とも言える資料が世の中にはたくさんあります。
もちろん国内にもいろいろありますが、海外にも目を向けてみるとさまざまな有用なセキュリティ関連のドキュメントや資料があります。そんな中から私が普段の業務でお世話になっているものを紹介したいと思います。

第2回 Webのセキュリティだけじゃない 『OWASP』 ドキュメント

OWASP とは

『OWASP』は非営利団体の名称で、Webを始めとするソフトウェアのセキュリティに関する技術やプロセスなどの情報共有と普及啓発を目的とした、コミュニティ主導のオープンソースソフトウェアプロジェクトです。OWASP - Open Web Application Security Project という名前ですが、Web以外のソフトウェアについても扱っています。

『OWASP Top 10』という、世界各国のセキュリティガイドラインなどでも参照されている有名なプロジェクトを始めとして、セキュリティ関連のツールやドキュメントを提供したり、定期的なフォーラム開催などを行っています。
OWASP の地方支部(Local Chapter)は全世界200カ所以上にあり、 2001年に発足した[OWASP Foundation]が全世界のOWASP活動を支え、各支部が地域に根ざした活動を主に行っています。国内にもいくつかの支部があり、私が代表を務める[OWASP Japan Local Chapter]もその1つです。
OWASPはアプリケーションのセキュリティ向上に関心がある方であれば誰でも参加することができます。各種ドキュメントの多くは英語版ですが、有志の人々や組織がボランティア活動として日本語版を作成して提供して頂いているものもあります。

OWASPには[200を超えるプロジェクト]があり、様々なドキュメントやツールが開発されています。今回はその中から主要なドキュメントをいくつか紹介していきます。

OWASP プロジェクトからいくつかのドキュメントを紹介

世界中が参照するWebアプリの重大リスク OWASP Top 10

OWASPのプロジェクトの中でもっとも活用されているのは、『OWASP Top 10』という重大なWebアプリケーションのセキュリティリスクをランキング形式で紹介したドキュメントです。
単に脅威や脆弱性を紹介しているだけではなく、脆弱性発見のポイントや防止方法、そしてそれに役立つOWASPの各種ドキュメントなども紹介されています。

『OWASP Top 10』は各所で活用されていて、たとえばクレジットカード業界のセキュリティ基準である『PCI DSS』の要件の中でも対処すべき脆弱性の、業界のベストプラクティスとしてOWASPが紹介されています。

執筆時点(2021年5月)での最新版は2017年版で、日本語版ドキュメントもあります。現在は2021年版のリリースを目指して議論が進められています。

Webアプリケーションのセキュリティ検証標準 ASVS

Webアプリケーションを設計、開発、テストする際に必要になるセキュリティ要件、および管理策のフレームワークを提供するのが『OWASP Application Security Verification Standard』です。セキュアなWebアプリケーションの開発や保守を行う際に役立つドキュメントです。セキュリティベンダーだけでなく、開発者や利用者が要件を調整する際にも利用することができます。
ASVS 4.0では以下のような要件が定義されています。

  • V1: アーキテクチャ、設計、脅威モデリング要件
  • V2: 認証の検証要件
  • V3: セッション管理の検証要件
  • V4: アクセス制御検証要件
  • V5: バリデーション、無害化とエンコーディング要件
  • V6: 保存時の暗号化の検証要件
  • V7: エラー処理およびログ記録の要件
  • V8: データ保護の要件
  • V9: 通信の検証要件
  • V10: 悪性コードの検証要件
  • V11: ビジネスロジックの検証要件
  • V12: ファイルとリソースの検証要件
  • V13: API、Webサービスの検証要件
  • V14: 構成の検証要件

 

ASVSでは「アプリケーションセキュリティ検証レベル」という、そのアプリケーションに求めるセキュリティレベルによって3つのセキュリティ検証レベルを定義しています。ASVSで記載されているセキュリティ要件は、各ASVSレベルごとに必須かどうかが決まってきます。

  • ASVS レベル1: 低保証レベル向け
  • ASVS レベル2: 機密データを含むアプリケーション向け
  • ASVS レベル3: 極めて重要なアプリケーション向け

 

ASVSの日本語版は下記のサイトで公開されています。

 

Webアプリケーションのセキュリティ要件で、より具体的なものを必要とする場合には、特定非営利活動法人日本ネットワークセキュリティ協会が事務局を務める、日本セキュリティオペレーション事業者協議会のセキュリティオペレーションガイドラインWG(WG1)と、OWASP Japan主催の共同ワーキンググループである 『脆弱性診断士スキルマッププロジェクト』が提供する『Webシステム/Webアプリケーションセキュリティ要件書』を参照すると良いでしょう。

『Webシステム/Webアプリケーションセキュリティ要件書』は、安全なWebアプリケーションの開発に必要なセキュリティ要件書です。発注者、開発者、テスト実施者、セキュリティ専門家、消費者が活用することで、開発会社・開発者に安全なWebシステム/Webアプリケーションを開発してもらうことを目的としています。

すぐに使える OWASP チートシートシリーズ

OWASP チートシートシリーズは、アプリケーション開発や運用を行う人たちに役立つ一連のグッドプラクティスガイドです。実用的な内容のものが多く、中にはコピペでそのまま使えるサンプル集的なものもあります。

執筆時点(2021年5月)で73ものチートシートが用意されていて、たとえば下記のようなものがあります。(リンク先はJPCERT/CCが提供している日本語訳です。最新版が必要な場合には本家 [OWASP Cheat Sheet Series]のWebサイトも参考にして下さい。)

開発者向け
脆弱性診断士向け

 

他にも多くのドキュメントがありますので、本家サイトやJPCERT/CC によるOWASPドキュメント日本語訳プロジェクトページを参照して下さい。

上野宣(うえの せん)
上野宣(うえの せん)

奈良先端科学技術大学院大学で山口英教授の元で情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立

OWASP Japan 代表、情報処理安全確保支援士 集合講習講師 カリキュラム検討委員会、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、SECCON 実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習 NICT サイバーコロッセオ 推進委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、第16回「情報セキュリティ文化賞」受賞、(ISC)² 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞

主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数

ホワイトペーパー

[2020年最新版] サイバー攻撃監視はカンタンに自動化できないのか?

専門知識不要、コスト不要の徹底自動化ガイド

「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。

こんな方におすすめ!

  • 1

    標的型攻撃の
    手法・対策を
    知りたい

  • 2

    セキュリティ運用
    の自動化メソッド
    を知りたい

  • 3

    サイバーセキュリティ
    対策にログを
    活用したい