MENU
ITの専門用語を、わかりやすく。
  1. ホーム
  2. セキュリティ・認証
  3. OWASPとは|Webセキュリティを牽引する非営利コミュニティ

OWASPとは|Webセキュリティを牽引する非営利コミュニティ

セキュリティ・認証
OWASP アイキャッチ
OWASP

OWASP(Open Worldwide Application Security Project)は2001年にMark Curpheyが立ち上げた非営利団体であり、Webアプリケーションのセキュリティに関する知見、ツール、ガイドラインをオープンに共有することを目的としている。代表作であるOWASP Top 10は世界中の開発者と監査人が参照する事実上の標準リスクリストとなり、ペネトレーションテスタ向けのZAPや要件定義のためのASVSも広く普及している。本稿では成り立ち、主要プロジェクト、運用上の活用方法、他の枠組みとの関係を順に整理する。

目次

この記事の目次

  1. OWASPが生まれた背景と組織構造
  2. Top 10とASVSが定める脅威モデル
  3. ZAPとDependency-Checkで構築する検査基盤
  4. ISO 27001やNISTとの関係と使い分け
  5. まとめ

OWASPが生まれた背景と組織構造

OWASPが生まれた背景と組織構造

2001年当時、SQLインジェクションやクロスサイトスクリプティングといった攻撃が表面化し始めていたものの、対策ノウハウは商用コンサルタント内部に閉じており、開発現場までは届きにくかった。Mark Curpheyはこの状況を改めるためOWASPを立ち上げ、2004年にOWASP Foundationを米国デラウェア州に設立、2011年には欧州にも拠点を置き、現在は世界各国にローカルチャプターを持つコミュニティへと拡大している。

OWASPの活動は完全にボランティアベースで運営され、文書やソフトウェアはApache License 2.0など緩やかなライセンスで公開される。理事会が予算と方向性を決定する一方、個別のプロジェクトはリーダーの提案で立ち上がり、Incubator、Lab、Flagshipの三段階で成熟度が評価される。AppSecと名づけられた国際カンファレンスは毎年欧米とアジアで開催され、研究発表と実務者交流の場として機能している。

Top 10とASVSが定める脅威モデル

Top 10とASVSが定める脅威モデル

OWASP Top 10は2003年に初版が発表され、おおむね3〜4年ごとに更新されている。2021年版ではA01 Broken Access ControlからA10 Server-Side Request Forgeryまでが列挙され、CWEとの紐づけや実データに基づく頻度・影響度評価が示された。これにより開発者は何を最優先で塞ぐべきかを短時間で把握でき、監査チェックリストや教育教材のベースとして転用される。

より詳細な要件はASVS(Application Security Verification Standard)に集約されている。ASVSはLevel 1〜3の三段階で要求項目を整理し、認証、セッション、入出力、暗号化など14カテゴリに分けて数百項目を提示する。SAMM(Software Assurance Maturity Model)はASVSと相補的に、組織のプロセス成熟度をガバナンス・設計・実装・検証・運用の軸で測る。これらを組み合わせると、コードレベルから組織レベルまで一貫した管理体系を設計できる。

ZAPとDependency-Checkで構築する検査基盤

ZAPとDependency-Checkで構築する検査基盤

代表的なツールにOWASP ZAP(Zed Attack Proxy)がある。2010年にPSI Soft社のAndy Mucholeから寄贈され、現在はChecmarx傘下で開発が続く。ブラウザとサーバの間に挟むプロキシ型スキャナで、自動巡回と能動スキャンを組み合わせ、XSSやSQL injection、CSRFなどの兆候を検出する。CI環境でも自動実行できるため、リリース前ゲートに組み込むパターンが定着している。

ライブラリの脆弱性検出にはOWASP Dependency-CheckやDependency-Trackが使われる。前者はビルド時にMavenやGradle、npmなどの依存関係を解析し、NVDのCVE情報と照合してSBOM形式のレポートを生成する。後者はSBOMを集中管理し、新しい脆弱性が公開された際に既存アプリへの影響を自動的に通知する。これらを組み合わせることで、開発から運用までの脆弱性ライフサイクル管理が完結する。

ISO 27001やNISTとの関係と使い分け

ISO 27001やNISTとの関係と使い分け

OWASPのドキュメントはアプリケーション層に特化している点が強みであり、ISO/IEC 27001の情報セキュリティマネジメントやNIST SP 800-53のような網羅的な統制カタログとは抽象度が異なる。実務ではISO 27001で組織全体のマネジメント体系を整え、NISTでセキュリティコントロールを定義し、開発工程の具体的なチェック項目にOWASP ASVSやTop 10を充てるという三層構造が採用されることが多い。

クレジットカード業界のPCI DSSも要件4.1や6.5でWebアプリの脆弱性対策を求めており、その具体策としてTop 10への対応を例示している。つまりOWASPは単独で運用される規格ではなく、認証取得や法令遵守の中で具体性を補う実装ガイドとして機能する。GDPR対応のように個人データを扱う場面でも、技術的措置の妥当性を説明する根拠としてOWASPの成果物が活用される。

まとめ

OWASPは商業的な束縛を持たない国際コミュニティとして、20年以上にわたりWebセキュリティの共通言語を整備してきた。Top 10で全体像を把握し、ASVSで要件を具体化し、ZAPやDependency-Checkで検証する流れを定着させれば、規格認証と日常開発の両方を同じ語彙で運用できる。

※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。

Post Views: 1
セキュリティ・認証
IT用語集 O 基礎知識
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

編集長のアバター 編集長

関連記事

コメント

コメントする

目次