2017年後半のトピックとして見逃せないのがWebアプリケーションの脆弱性トップ10を指摘する「OWASP Top 10」の2017年版が公開されたことだ。Webセキュリティの第一人者である徳丸浩氏に、2013年版と比較して変わった点や注目すべき内容について語ってもらった。2回にわたって解説する。今回は、OWASP Top 10がいったん公開されたが炎上し、その後、修正版が公開された事情を語ってもらった。
重要度の高い脆弱性を選ぶOWASP Top 10
OWASPには読み方はあるんですか。
徳丸 普通に「オワスプ」と読みます。
Webアプリケーションの脆弱性トップ 10がほぼ3年に1度、出てるんですね。
徳丸 そうですね。3年に1度出ていたんですが、今回は4年弱ですね。つまり、2004、2007、2010、2013とちゃんと出ていたんですが、2016に出るはずが遅れました。しかも、2017のRC(Release Candidate:リリース候補版)が出たんですが炎上するような形になっていったん取り下げられて、内容がそこそこ更新されたRC2がリリースされたという、いわく付きのものです(日本語版PDFはこちら)。
徳丸 OWASP Top 10については、ここ何回かそんなに大きな変更はなかったのですが、2017年版はけっこう内容が変わっているので、サイト運営、開発側としても、意識しましょうということですね。
なぜOWASP Top 10に大きな影響力があるのかというと、たとえばクレジットカード関連のシステムでは必須となるセキュリティ規格「PCI DSS」などで、セキュアコーディングをしなさい、といったときに、その基準の一つがOWASPになります。つまり、PCI DSSのカード決済業者向けの規格があるわけですが、セキュアコーディングをしろという話の詳細はそこには書いていなくて、OWASP Top 10を参照する形でそれらに従ってやってね、といういうことです。少なくともPCI DSSの認証をとっているところは、ここを見なきゃいけないということです。
もう一つは、クレジットカードは扱っていないし、PCI DSSの認証もとってないしというところでも、もともとOWASP Top 10を自社の基準にしているところも多いですし、そもそも世界で一番影響力のある基準なので、なにかしら考慮は必要だろうと思います。