OWASP TOP10 2017 RC2を翻訳してみた #0 OWASP TOP 10とは?
OWASP TOP10 2017 RC2を翻訳してみた #0 OWASP TOP 10とは?
先日公開された、OWASP TOP10 2017 RC2の新規追加事項を中心に自分用にメモしたので公開してみた。
・・・と思ったら、既に正式なOWASP TOP 10 2017がリリースされてました。
OWASP TOP 10 2017の内容はOWASPが公開している資料をご確認ください。
本記事はOWASP TOP 10 2017 RC2の翻訳(自己流)の記事です。
筆者が拙い英語力で無理やり訳したので間違いを含んだり、公式訳とは異なっていたりする可能性があります。
本記事の内容を利用/転載して発生して発生したいかなる問題に対しても責任は負いかねます。
そもそも、正式版がリリースされているので誰も今更RC2の記事なんか気にしないZE☆★☆
RC2のXML External EntityXXEの翻訳記事はこちら
RC2のInsecure Deserializationの翻訳記事はこちら
RC2のInsufficient Logint & Monitoringの翻訳記事はこちら
OWASPとは
そもそもOWASPとは、と言う人のためにOWASPを簡単に紹介しておきます。
OWASPとは「The Open Web Application Security Project」の略で、WEBアプリケーションのセキュリティに関するオープンプロジェクトです。
OWASPの日本語のページから引用すると、『OWASP – Open Web Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。』とのことです。
ざっくり言うと、WEBアプリケーションのセキュリティ向上を目的にしているプロジェクトですね※。
クレジットカードの会員情報を扱う際の情報セキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)の要件としてOWASP TOP 10に挙げられている脆弱性に対して対策されていること※が求められていたりします。
※わかりやすい用に書いていますが、定義に厳密に書いているわけでは有りません。正確な情報が必要な場合は自身の責任できちんと調べてください。
OWASP TOP 10 とは?
OWASP TOP 10とは、OWASPのプロジェクトの一つです。OWASP TOP 10 2013の日本語版によると、『Top 10プロジェクトの目標は、組織が直面している最も重要なリスクのいくつかを説明することで、アプリケーションセキュリティの意識を高めることです。』とのこと。
ものすご~~~く大雑把にいうと、セキュリティ事象の中でも重要だと思える項目を挙げて、うえから順番に10項目並べましたってことです。
・・・ちょっとおおざっぱすぎるか(^^;
あくまで重要そうな項目を10個に絞って挙げているだけで、当然、11番目以降もいます。
つまり、『OWASP TOP 10の項目に対応している=WEBアプリのセキュリティは完璧』とはなりません。
その点は心にとめておいてください。あくまでも、重要そうな項目を代表して10個挙げているという位置づけです。
(そもそも、セキュリティに関しては『完璧』と断言することは誰にもできません。)
前置きが長くなったのでいったんカットして、次回はOWASP TOP 10 2017 RC2で新規にTOP10入りした A4:2017 XML External Entity(XXE)を翻訳してみたいと思います。
RC2のXML External EntityXXEの翻訳記事はこちら
RC2のInsecure Deserializationの翻訳記事はこちら
RC2のInsufficient Logint & Monitoringの翻訳記事はこちら
