プロジェクトを組成し、⽇日本独⾃自の成果物を作成
OWASPとはなにか?
100 99 98 97 96 95 94 93 92 91
90
89
88
87
86
85
84
83
82
81
80 79 78
77
76 75 74 73
72
71
70
69
68
67
66
65
64
63
62
61
60 59 58 57 56
55 54
53 52 51
50
49
48
47
46
45
44
43
42
41
40
39 38 37
36
35 34 33 32
31
30
29
28
27
26
25
24
23
22
21
20
19 18 17 16 15 14
13
12 11
10
9
8
7
6
5
4
3
2
1
D
p
f
❉
P
✭
ελʔτ
ΰʔϧ
08"41$
ϞόΠϧσόΠεʹ
͓͚Δػີσʔλͷ
ಛఆͱอޢ
08"41$
σόΠεʹ͓͚Δ
ύεϫʔυͷ
҆શͳऔΓѻ͍
08"41$
ػີσʔλͷૹͷ
อޢΛ֬อ
08"41$
Ϣʔβʔೝূɺ
ೝՄ
͓Αͼ
ηογϣϯཧͷ
ਖ਼͍࣮͠
08"41$
όοΫΤϯυͷ"1*
ʢαʔϏεʣ
ͱϓϥο
τ
ϑΥʔϜ
ʢαʔόʣ
ͷ
҆શੑͷҡ࣋
08"41$
αʔυύʔςΟͷ
αʔϏε
ΞϓϦέʔγϣϯͱͷ
σʔλ౷߹Λ҆શʹ
08"41$
Ϣʔβʔσʔλͷ
ར༻ͱऩूͷͨΊͷ
ঝͷऩूͱอʹ
ಛผͳҙΛ͏
08"41$
༗ྉͷϦιʔεͷ
ෆਖ਼ΞΫηεΛ͙
ͨΊͷ੍ޚͷ࣮
08"41$
ϞόΠϧΞϓϦͷ
ఏڙͷ
҆શੑͷ֬อ
08"41$
ίʔυ࣮ߦ࣌ʹΤϥʔ
͕ൃੜͨ͠߹ͷ࣮
Λ৻ॏʹ֬ೝ
08"41.
ශऑͳαʔόଆͷ
੍ޚ
08"41.
҆શͰͳ͍
σʔλͷอ
08"41.
ෆेͳ
τϥϯεϙʔτอޢ
08"41.
ҙਤ͠ͳ͍
σʔλ࿙͍͑
08"41.
ශऑͳೝূͱೝՄ
08"41.
յΕͨ҉߸Խॲཧ
08"41.
ΫϥΠΞϯταΠυ
ΠϯδΣΫγϣϯ
08"41.
৴པͰ͖ͳ͍ೖྗʹ
ΑΔηΩϡϦςΟஅ
08"41.
ෆదͳ
ηογϣϯॲཧ
08"41.
όΠφϦอޢͷܽ
Created by Colin Watson Version MobApp-1.02-JA (Farringdon)
08"41τοϓϞόΠϧίϯτϩʔϧ
08"41το
ϓϞόΠϧίϯτϩʔϧɺ
੬ऑੑͷ߈ܸʹΑΔඃɺ
͋Δ͍ͦͷՄೳੑΛݮগͤ͞ΔͨΊͷ։ൃ੍ޚͷҰཡͰ͢ɻ
$ ϞόΠϧσόΠεͷػີσʔλͷಛఆͱอޢ
$ σόΠεͷύεϫʔυͷ҆શͳऔΓѻ͍
$ ػີσʔλͷૹͷอޢΛ֬อ
$ Ϣʔβʔೝূɺ
ೝՄ͓Αͼηογϣϯཧͷਖ਼͍࣮͠
$ όοΫΤϯυͷ"1*
ʢαʔϏεʣ
ͱϓϥο
τ
ϑΥʔϜ
ʢαʔόʣ
ͷ҆શੑͷ
ҡ࣋
$ αʔυύʔςΟͷαʔϏεΞϓϦέʔγϣϯͱͷσʔλ౷߹Λ҆શʹ
$ Ϣʔβʔσʔλͷར༻ͱऩूͷͨΊͷঝͷऩूͱอʹಛผͳҙ
Λ͏
$ ༗ྉͷϦιʔε
ʢࡒɺ
4.4ɺ
ిʣ
ͷෆਖ਼ΞΫηεΛ͙ͨΊͷ
੍ޚͷ࣮
$ ϞόΠϧΞϓϦͷఏڙͷ҆શੑͷ֬อ
$ίʔυ࣮ߦ࣌ʹΤϥʔ͕ൃੜͨ͠߹ͷ࣮Λ৻ॏʹ֬ೝ
08"41τοϓϞόΠϧϦεΫ
5IF08"41το
ϓϞόΠϧϦεΫɺ
ΞϓϦέʔγϣϯͰͷ࠷ॏཁͳϞόΠϧ
ΞϓϦͷϦεΫʹ͍ͭͯͷڞ௨ೝࣝΛࣔ͢ͷͰ͢ɻ
. ශऑͳαʔόʔଆͷ੍ޚ
.҆શͰͳ͍σʔλͷอ
. ෆेͳτϥϯεϙʔτอޢ
. ҙਤ͠ͳ͍σʔλ࿙͍͑
. ශऑͳೝূͱೝՄ
. յΕͨ҉߸Խॲཧ
. ΫϥΠΞϯταΠυͷΠϯδΣΫγϣϯ
. ৴པͰ͖ͳ͍ೖྗʹΑΔηΩϡϦςΟஅ
. ෆదͳηογϣϯॲཧ
.
όΠφϦอޢͷܽ
ίϯτϩʔϧͱϦεΫͷ྆ํͱɺ
ͪ͜Βͷ08"41ϓϩδΣΫτͷαΠτʹৄड़͞Ε͍ͯ·͢ɻ
IUUQTXXXPXBTQPSHJOEFYQIQ08"
[email protected]@4FDVSJUZ@1SPKFDU
ϓϩδΣ
Ϋ
τ
Ϧʔμʔ
Colin Watson
༁ऀͦͷଞͷߩݙऀ
Manuel Lopez Arredondo, Fabio Cerullo, Tobias Gondrom,
Martin Haslinger, Yongliang He, Cédric Messeguer, Takanori
Nakanowatari, Riotaro Okada, Ferdinand Vroom, Ivy Zhang
ऄͱ͠͝ɺ
ΞϓϦέʔγϣϯ
ɾ
ηΩϡϦςΟೝ্ͷͨΊͷڭҭతͳήʔϜͰ͢ɻ
͜ͷ൛ϞόΠϧΞϓϦέʔγϣϯʹॏΛஔ͍
͓ͯΓɺ
ʮ08"41το
ϓϞόΠϧίϯτϩʔϧʯ
Λ
ʮ͠͝ʯ
ɺ
·ͨ༗໊ͳ
ʮ08"41το
ϓϞόΠϧϦεΫʯ
Λ
ʮऄʯ
ͱ͠·ͨ͠ɻ
͜ΕΒͷϓϩδΣΫτͷϦʔμʔͳΒͼʹߩݙ͞Εͨํʑʹײँ͍ͨ͠·͢ɻ
αΠίϩίϚ͕ͳ͍ʁԼͷਤܗΛΓऔ͍ͬͯͬͯͩ͘͞ɻ
৭ͷؙ͍͍ͭͨͷΛίϚͱͯ͑͠ΔͰ͠ΐ͏ɻ
͋Δ͍ɺ
̒໘ͷαΠίϩγϛϡϨʔλΛϓϩάϥϜ͢Δͱ͔ɺ
εϚϗ͔ύιίϯͰ͔Β·ͰͷͷཚΞϓϦΛ͍͍͑ɻ
ͨͩ͠ɺ
ग़Δ͕ϥϯμϜ͔Ͳ͏͔ͪΌΜͱνΣοΫ͢Δ͜ͱ
ʂ
͜ͷγʔτͷιʔεϑΝΠϧɺ
ଞͷΞϓϦέʔγϣϯηΩϡϦςΟ
τϐοΫͷγʔτɺ
ଞͷ༷ʑͳݴޠ൛ɺ
·ͨ
ʮ08"41ऄͱ͠͝ϓϩδΣΫτʯ
ʹؔ͢Δใɺ
ҎԼͷ08"41ͷΣϒαΠτʹ͋Γ·͢ɻ
https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders
എܠ
ʮऄͱ͠͝ʯ
ΞδΞൃͷϘʔυήʔϜͰɺ
ϏΫτϦΞே
࣌ʹӳࠃʹ༌ೖ͞ΕͨਓؾͷϘʔυήʔϜͰ͢ɻ
ͱͱɺ
͜ͷήʔϜળͱѱɺ
ඒಙͱѱಙͷͦΕͧΕͷޮՌΛࣔͨ͠
ͷͰͨ͠ɻ
͜ͷήʔϜɺ
ΞϝϦΧͷҰ෦ͷॴͰɺ
ʮӍͲ
͍ͱ͠͝ʯ
ͱͯ͠ΒΕ͍ͯ·͢ɻ
͜ͷ08"41൛Ͱɺ
ηΩϡΞͳίʔσΟϯά
ʢϓϩΞΫςΟϒ
ίϯτϩʔϧʣ
Λߴܿͳߦಈͱ͠ɺ
ΞϓϦέʔγϣϯϦεΫΛ
ѱಙͱ͍ͯ͠·͢ɻ
ܯࠂ
08"41ऄͱ͠͝ɺ
نͷେখΛΘͣɺ
ιϑτΣΞϓϩ
άϥϚʔʹ͍ͬͯͨͩ͘
͜ͱΛҙਤ͍ͯ͠·͢ɻ
͜ͷࢴͷήʔ
Ϝγʔτͦͷͷ༗Ͱ͋Γ·ͤΜ͕ɺ
ར༻ऀ͕ɺ
ࣗͰ
ॴ༗͍ͯ͠ΔϓϥενοΫ͋Δ͍ͷαΠίϩΧϯλʔ
ίϚ
Λ͏͜ͱʹ͢Δ߹ɺ
ࡀҎԼͷࢠڙͨͪʹʹ٧
·Βͤͯଉ͢ΔϦεΫ͕͋Δ͔͠Ε·ͤΜɻ
ϧʔϧ
͜ͷήʔϜਓ͔ΒਓͰ༡ͼ·͢ɻ
ͦΕͧΕͷϓϨΠϠʔ
ʹ৭ͷ͍ͭͨίϚΛ͍ͬͯͩ͘͞ɻ
࠷ॳʹɺ
ͦΕͧΕͷϓϨ
ΠϠʔαΠίϩΛৼͬͯ୭͕࠷ॳʹϓϨΠ͢Δ͔ܾΊ·͢ɻ
Ұ൪େ͖ͳͷΛग़ͨ͠ਓ͕࠷ॳͰ͢ɻ
શϓϨΠϠʔͷίϚΛ
ʮελʔτʯ
ͱ͋Δ࠷ॳͷϚεʹஔ͖
·͢ɻ
ॱʹɺ
֤ϓϨΠϠʔαΠίϩΛৼΓɺ
ͦͷʹ͕ͨͬͯ͠
ίϚΛҠಈ͠·͢ɻ
Ҡಈͨ࣌͠ʹɺ
͠ίϚ͕͠͝ͷԼʹདྷͨͳΒɺ
ίϚΛ͠͝
ͷ࠷্ஈͷͱ͜Ζʹ͋ΔϚεʹ্͛ͳ͚ΕͳΓ·ͤΜɻ
ίϚ͕ऄͷޱͷͱ͜ΖʹདྷͨͳΒɺ
ͦͷίϚΛऄͷ৲ඌͷͱ͜Ζ
ʹ߱Ζ͞ͳ͚ΕͳΓ·ͤΜɻ
ࠨ্ͷͷͱ͜Ζʹ࠷ॳʹདྷͨϓϨΠϠʔ͕উऀͱͳΓ·͢ɻ
͜ͷγʔτ͔ΒΓऔͬͨͷͰαΠίϩΛ࡞Δʹɺ
ઢʹԊͬͯંΓۂ͛ɺ
ͷΓ͠Ζͷͱ͜ΖʹணࡎΛ͚ͭɺ
࢛֯͘ͳΔΑ͏ʹ৻ॏʹܗ͍ͯͩ͘͠͞ɻ
Ұඖͷऄ͕࣍ͷॱ൪ͷΩϛͷαΠίϩ
ͷΛݴ͓͏͔ͬͯɺ
ΟϯΫͯ͠ΔΑɻ
ݟ͔ͭͬͨʁ
08"41ऄͱ͠͝ɺ
ແྉͰࣗ༝ʹ͓͍͍͚ͨͩ·͢ɻ
ΫϦΤΠςΟϒίϞϯζදࣔܧঝϥΠηϯεʹج͖ͮɺ
͜ͷՌΛෳࣸɺ
ɺ
ૹ৴ɺ
վมɺ
ۀతར༻͕Մೳ
Ͱ͕͢ɺ
͜ͷ࡞ʹجͮ͘
͍͔ͳΔͷʹ͍ͭͯɺ
·ͨ࠶ར༻ɺ
సૹɺ
ೋ࣍తஶ࡞ʹ͍ͭͯɺ
͜ͷϥΠηϯεͱಉ͡༻
ڐ݅Ͱͳ͚ΕͳΓ·ͤΜɻ
© OWASP Foundation 2014.
OWASP Snakes and Ladders
– ऄͱ͠͝ϞόΠϧΞϓϦ൛ –
OWASP
Top10
⽇日本語版
OWASP
蛇とはしご
OWASP
ZAP運⽤用マニュアル
OWASP
Top10
⽇日本語版
OWASPセキュリティ要件書