メインコンテンツへ
セキュリティセキュリティ実践

OWASP Top 10について正しく説明しているものはどれか。

ア.ネットワーク機器の脆弱性を対象とした業界標準の10項目リストで、毎年更新される
イ.Webアプリケーションのセキュリティ対策ツール10種のランキングリスト
ウ.コンピュータウイルスのデータベースであり、新種マルウェア上位10件を記録するもの
エ.Webアプリケーションで最も一般的・重大なセキュリティリスク上位10項目を示したガイドラインで、開発者・組織がセキュリティ対策の優先度決定に活用する正解

解説

OWASP Top 10は「セキュリティ界の人気ランキング(ワースト版)」みたいなもの。注入攻撃・認証の不備・機密データ露出など、実際の被害が多かった脆弱性カテゴリを世界中のセキュリティ専門家がデータ集計してまとめたリスト。開発現場の「やってはいけないことワースト10」として世界標準で活用される!

なぜ エ が正解か

OWASP(Open Web Application Security Project) Top 10の概要:①対象:Webアプリケーションのセキュリティリスク②数年おきに更新(毎年ではない、例:2017・2021版)③2021年版の主な項目:A01アクセス制御の不備、A02暗号化の失敗、A03インジェクション、A04安全でない設計、A05セキュリティの設定ミス、A06脆弱なコンポーネント、A07認証の失敗、A08ソフトウェアとデータの整合性の失敗、A09セキュリティログとモニタリングの失敗、A10サーバサイドリクエストフォージェリ④活用:セキュア開発研修・ペネトレーションテストの優先度付けに使用。

なぜ ア は間違いか

ネットワーク機器専用ではなくWebアプリケーション対象。また毎年ではなく数年おきに更新される。CISCOやJuniperの機器脆弱性データベースとは別物。

なぜ イ は間違いか

対策ツールのランキングではなく、リスク・脆弱性カテゴリのリスト。ツール推薦リストではなく「危険な脆弱性TOP10」。

なぜ ウ は間違いか

マルウェアのデータベースはAV-TEST等の機関が管理するもの。OWASPはオープンソースのWebセキュリティコミュニティであり、ウイルスランキングとは無関係。

出典: AI生成問題(学習用)