【翻訳】OWASP TOP 10 2017 RC2を翻訳してみた #3 Insufficient Logging & Monitoring【してみた】
OWASP TOP10 2017 RC2を翻訳してみた #3 Insufficient Logging & Monitoring
OWASP TOP10 2017 RC2を翻訳してみた #3 Insufficient Logging & Monitoring
先日公開された、OWASP TOP10 2017 RC2の新規追加事項を中心に自分用にメモしたので公開してみた。
なお、既に正式なOWASP TOP 10 2017がリリースされています。
OWASP TOP 10 2017の内容はOWASPが公開している資料をご確認ください。
本記事はOWASP TOP 10 2017 RC2の翻訳(自己流)の記事です。
筆者が拙い英語力で無理やり訳したので間違いを含んだり、公式訳とは異なっている可能性があります。
本記事の内容を利用/転載して発生して発生したいかなる問題に対しても責任は負いかねます。
では、張り切って翻訳してみよう。
なお、本翻訳はOWASP TOP 10 2017 RC2のPDFファイルの8枚目(ページ番号7)の内容を基に翻訳しています。
そもそもOWASP TOP 10てなーに?と言う方はこちら
同じRC2のXML External EntityXXEの翻訳記事はこちら
同じRC2のInsecure Deserializationの翻訳記事はこちら
A10:2017 Insufficient Logging & Monitoring
原文
原文(OWASP TOP 10 2017 RC2のPDFより引用)
“Insufficient logging and monitoring, coupled with missing or ineffective integration with incident response allows attackers to further attack systems, maintain persistence, pivot to more systems, and tamper, extract or destroy data. Most breach studies show time to detect a breach is over 200 days, typically detected by external parties rather than internal processes or monitoring. ”
Google先生による翻訳
こちらも、A4やA8同様にGoogle翻訳にかけてみた。すると↓こんな感じ↓になった。
『不十分なロギングと監視、事件との統合の欠如または無効化応答は、攻撃者がシステムをさらに攻撃し、永続性を維持し、より多くのシステムにピボットし、データを改ざん、抽出、または破壊することができます。ほとんどの違反調査は、違反が200件を超えたことを検出する時間を示しています内部的なプロセスやモニタリングではなく、通常は外部の当事者によって検出されます。』
・・・Google先生、意味が分かりませ(ry
本記事の筆者が訳してみた
こちらも上記のGoogle翻訳を基に、「,」が関わりそうな部分を中心に筆者が訳しなおしてみた。
その結果が↓こちら↓
『不十分なロギングとモニタリングと、インシデントレスポンスとの結合の欠如または非効率な組み合わせにより、攻撃者はさらにシステムを攻撃し、永続性を維持し、より多くのシステムの中枢にとどまり、データを改ざん、抽出または破棄することができます。ほとんどの違反調査では、200日を超える違反を検出する時間が示されます。通常、内部プロセスや(内部の)監視ではなく、外部プロセスによって検出されます。』
・・・筆者の訳も意味がわからな(ry
だって、ピボットって日本語にしづらかったんだもん。。。
※冒頭でも書きましたが、本記事はOWASP TOP 10 2017 RC2の自己流の翻訳です。正式版のOWASP TOP 10 2017の翻訳ではありません。
本記事の内容を利用/転載して発生して発生したいかなる問題に対しても責任は負いかねます。
以上、OWASP TOP 10 2017 RC2の日本語訳でした。
同じRC2のXML External EntityXXEの翻訳記事はこちら
同じRC2のInsecure Deserializationの翻訳記事はこちら
TECH PROjin 各連載はこちら!
開発系の技術が学べる連載
Developer 連載一覧
インフラ系の技術が学べる連載
Infra_Engineer 連載一覧