OWASP Projectsの歩き方

Transcript

1. OWASP Projectsの歩き方 OWASP Kansai 松田康司 2025/9/20

2. 自己紹介 • 松田 康司 – OWASP Kansai ボードメンバー – (株)神戸デジタル・ラボ

   • Securityチーム オーナー • 生産技術チーム • KDL-SIRT PSIRT

3. OWASPとは Open Worldwide Application Security Project みんなの力で 世界中で つくられたもんの セキュリティを

   何とかする活動

4. OWASP Projectsの歩き方 さらに詳しく知りたい方は、 https://owasp.org/projects/

5. Application Security Wayfinder （出展）OWASP Projects | https://owasp.org/projects/ OWASP Integration Standards

   Project によって提供された 各OWASP ProjectsがSoftware Develop Life Cycle (SDLC) のどの部分に助けになるかを表した図。

6. Application Security Wayfinder

7. OWASP Top 10 （出展） OWASP Top 10 | https://owasp.org/Top10/ja/ Webアプリケーションのセキュリティリスクトップ10。

   A01:2021-アクセス制御の不備 A02:2021-暗号化の失敗 A03:2021-インジェクション A04:2021-安全が確認されない不安な設計 A05:2021-セキュリティの設定ミス A06:2021-脆弱で古くなったコンポーネント A07:2021-識別と認証の失敗 A08:2021-ソフトウェアとデータの整合性の不具合 A09:2021-セキュリティログとモニタリングの失敗 A10:2021-SSRF

8. OWASP Top 10

9. Flagship Projects Flagship Projectsは、OWASP とアプリケーション セキュ リティ全体に対して戦略的価値を実証したプロジェクトに与 えられます。 Production Projects

   : Productionレベルのプロジェクト。 Lab Projects : 価値ある成果物を生み出したプロジェクト。 Incubator Projects : プロジェクトがまだ具体化されつつある段階。

10. Requirements OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

11. Application Security Verification Standard(ASVS) アプリケーションの検証標準。つまり、セキュリティ要件 のリストが書かれたドキュメント。 (出展)OWASP ASVS v5.0.0 https://github.com/OWASP/ASVS/tree/v5.0.0

    ついに、5.0.0がstable release されました！！！

12. Application Security Verification Standard(ASVS) V1: エンコーディングとサニタイゼーション V2: バリデーションとビジネスロジック V3: Web

    フロントエンドセキュリティ V4: API と Web サービス V5: ファイル処理 V6: 認証 V7: セッション管理 V8: 認可 V9: 自己完結型トークン (出展) ASVS v5.0邦訳版 https://github.com/owasp-ja/asvs-ja V10: OAuth と OIDC V11: 暗号化 V12: 安全な通信 V13: 構成 V14: データ保護 V15: セキュアコーディングとアーキテクチャ V16: セキュリティログ記録とエラー処理 V17: WebRTC

13. 主な変更点 V1: エンコーディングとサニタイゼーション V2: バリデーションとビジネスロジック V3: Web フロントエンドセキュリティ V4: API

    と Web サービス V5: ファイル処理 V6: 認証 V7: セッション管理 V8: 認可 V9: 自己完結型トークン (出展) ASVS v5.0邦訳版 https://github.com/owasp-ja/asvs-ja V10: OAuth と OIDC V11: 暗号化 V12: 安全な通信 V13: 構成 V14: データ保護 V15: セキュアコーディングとアーキテクチャ V16: セキュリティログ記録とエラー処理 V17: WebRTC V1アーキテクチャが なくなった 構造変更と新章追加 ドキュメント要件を 明示 レベルの再定義

14. Design OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

15. Threat Dragon OWASP Threat Dragonは、脅威モデリングアプリケー ションです。脅威モデリング図の作成や、図中の要素に対 する脅威のリスト化する際に使用します。基本はWebアプ リケーションです （出展）threat-dragon https://github.com/OWASP/threat-dragon/tree/v2.5.0

16. Data Flowの作成サンプル

17. コンポーネントの詳細や脅威を追加できます

18. Implementation OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

19. Cheat Sheet Series OWASP チートシートシリーズは、アプリケーション開発 者が実践できるシンプルなベストプラクティス集です。よ り、具体的に実装レベルまで落とし込まれたガイドになっ ています。 （出展）OWASP Cheat

    Sheet Series https://owasp.org/www-project-cheat-sheets/

20. 様々なCheat Sheetがあります。 • Input Validation Cheat Sheet • Injection Prevention

    Cheat Sheet • Content Security Policy Cheat Sheet • Logging Cheat Sheet • Authentication Cheat Sheet • Authorization Cheat Sheet • HTTP Security Response Headers Cheat Sheet （出展）OWASP Cheat Sheet Series https://cheatsheetseries.owasp.org/ • LLM Prompt Injection Prevention Cheat Sheet • OAuth 2.0 Protocol Cheatsheet • SQL Injection Prevention Cheat Sheet • Secrets Management Cheat Sheet • Session Management Cheat Sheet • Transport Layer Security Cheat Sheet

21. Implementation OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

22. CycloneDX CycloneDXは、ソフトウェアだけでなく、ハードウェアや SaaSも含むフルスタックなBOM標準です。依存関係の管 理だけでなく、ライセンスや脆弱性の関連付けなどの機能 も提供しています。つまり、SBOMフォーマットの一つ。 他には、SPDXがある （出展）CycloneDX https://cyclonedx.org/

23. CycloneDXサンプル

24. ライセンスや、脆弱性の情報を含めることができる。

25. Implementation OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

26. OWASP Secure Headers Project Contents Security Policyとか、X-Frame-Options、HSTS などの付与することで、セキュリティ強化できるHTTPレ スポンスヘッダを定義するプロジェクト。ヘッダの使い方 などを紹介してくれます。

    （出展）OWASP Secure Headers Project https://owasp.org/www-project-secure-headers/

27. OWASP Secure Headers Project （出展）OWASP Secure Headers Project https://owasp.org/www-project-secure-headers/ Guidanceの例

28. Verification OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

29. Web Security Testing Guide(WSTG) Webアプリケーションの包括的なセキュリティテストのガ イドです。設計段階〜リリース前のセキュリティテストに 活用可能で、セキュリティレビューやペネトレーションテ ストのチェックリストとして利用できます。 （出展）WSTG -

    stable https://owasp.org/www-project-web-security-testing-guide/stable/ WSTG GitHub https://github.com/OWASP/wstg

30. SDLCの各フェーズにセキュリティテストを盛り込む （出展）WSTG - stable https://owasp.org/www-project-web-security-testing-guide/stable/ WSTG GitHub https://github.com/OWASP/wstg • 手動検査とレビュー

    • 脅威モデル • コードレビュー • 侵入テスト

31. Verification OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

32. Amass オープンソースのAttack Surface調査ツール。ドメイン 名・サブドメイン・ネットワークマッピングなどを自動で 収集します。外部から見える攻撃対象を洗い出すときに非 常に便利です。 （出展）Amass https://github.com/owasp-amass/amass

33. Amass - demo 例えば、ドメインから露出している資産を探す。 管理していないドメインへは実施しないように！

34. Verification OWASP Top 10 Proactive Controls https://top10proactive.owasp.org/

35. Defect Dojo オープンソースのASPMです。SCAやSAST、ペンテストな どの結果を集約し、優先度をつけて対応することを手助け するツールです。 （出展）Defect Dojo https://defectdojo.com/

36. SIRT向けのツール • セキュリティテストの結果を一元管理 • 組織の各プロダクトの結果を一元管理 • 脆弱性のステータスも管理できるので、SIRTの担当者に は超素敵なツールです（ほしい！） Demo⇒https://github.com/DefectDojo/django-DefectDojo?tab=readme-ov-file

37. Metrics & Policy Gap Evaluation

38. Culture Building & Process Maturing

39. Software Assurance Maturity Model(SAMM) 組織のアプリケーションセキュリティ成熟度を可視化する プロジェクト。組織の脆弱性診断を提供しています （出展）SAMM https://owaspsamm.org/

40. SAMMの構造 （出展）SAMM https://owaspsamm.org/

41. レーダーチャートで可視化される

42. Training / Education

43. Juice Shop （出展）Juice Shop https://owasp.org/www-project-juice-shop/ OWASP Juice Shop は、安全でない Web

    アプリケーショ ンです。ゲーム感覚で、脆弱性を見つけることで、診断や ペネトレーションテストの練習ができます。

44. Juice Shop

45. Operation

46. Mod Security Core Rule Set(CRS) （出展）Mod Security https://github.com/owasp-modsecurity/ModSecurity OWASP CRS

    https://owasp.org/www-project-modsecurity-core-rule-set/ OSSのWAFであるMod Security とその汎用的な攻撃検出 ルールのセットを提供するプロジェクトです。以前は、 Apacheモジュールでしたが、今はnginxやIISなどもサポー トしています。

47. その他

48. OWASP Gen AI Security Project Top10 for LLM and GenAIを含む、生成AI

    関連のProjectです。主に生成AIとそれを 組み込んだシステムのSecurityのガイドを 提供しています。 (出展)OWASP GenAI Security Project https://genai.owasp.org/

49. Top10 for LLM and GenAI LLM01:2025 プロンプトインジェクション LLM02:2025 機密情報の開示 LLM03:2025

    サプライチェーン LLM04:2025 データとモデルポイズニング LLM05:2025 不適切な出力処理 LLM06:2025 過剰なエージェンシー LLM07:2025 システムプロンプトの漏洩 LLM08:2025 ベクトルと埋め込みの脆弱性 LLM09:2025 誤情報 LLM10:2025 際限のない消費 (出展) 2025 Top 10 Risk & Mitigations for LLMs and Gen AI Apps https://genai.owasp.org/llm-top-10/

50. Artificial Intelligence Security Verification Standard(AISVS) (出展) OWASP Artificial Intelligence Security

    Verification Standard (AISVS) https://github.com/OWASP/AISVS/ AI駆動型アプリケーションのセキュリティを検証するための チェックリストを提供します。

51. Artificial Intelligence Security Verification Standard(AISVS) (出展) OWASP Artificial Intelligence Security

    Verification Standard (AISVS) https://github.com/OWASP/AISVS/ 1. トレーニングデータのガバナンスとバイアス管理 2. ユーザー入力値検証 3. モデルのライフサイクル管理と変更管理 4. インフラストラクチャ、構成、デプロイのセキュリティ 5. アクセス制御とID管理 6. モデル・フレームワーク・データのサプライチェーンセキュリティ 7. モデルの挙動、出力制御、安全性保証

52. Artificial Intelligence Security Verification Standard(AISVS) (出展) OWASP Artificial Intelligence Security

    Verification Standard (AISVS) https://github.com/OWASP/AISVS/ 8. メモリ、埋め込み表現、ベクトルデータベースのセキュリティ 9. 自動オーケストレーションとエージェントのセキュリティ 10. 敵対的攻撃への耐性 11. プライバシー保護と個人データ管理 12. モニタリング、ログ、異常検知 13. 人間による監督と信頼性

53. 最後に

54. 今日紹介したOWASP Project ➢ Top 10 ➢ ASVS ➢ Threat Dragon

    ➢ Cheat Sheet Series ➢ CycloneDX ➢ OWASP Secure Headers Project ➢ Web Security Testing Guide(WSTG) ➢ Amass ➢ Defect Dojo ➢ SAMM ➢ Juice Shop ➢ Mod Security Core Rule Set(CRS) ➢ Top10 for LLM and GenAI ➢ AISVS

55. ご清聴ありがとうございます ご質問があれば、お声がけください