IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
「OWASPトップ10」掲載の脆弱性に対処、開発者/ベンダー双方が担う役割とは?
コンテンツ情報
| 公開日 | 2020/10/05 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 8ページ | ファイルサイズ | 1.58MB | ||
要約
Webアプリケーションのセキュリティリスクをまとめた「Open Web Application Security Project(OWASP)トップ10」。これは開発者が考慮すべき脆弱性について注意を喚起することを目的としたものだが、対策を考える上で重要になるのが、セキュリティベンダーと企業の双方が、どんな役割を担うのかを理解することだ。
例えば、トップ10の中に挙げられている、SQLやNoSQLなどのインジェクションに対する欠陥についていえば、ベンダーが提供するWAFを用いれば、アプリケーションとAPIを保護できるが、脆弱性が発見されるたびに企業側でパッチを適用しなくてはならない。これを踏まえると、WAFの選定においては、カスタムルールによる仮想パッチの適用が可能かという点は、大きなポイントになるだろう。
本資料ではこの他、認証の不備、機微な情報の露出、XML外部エンティティ参照など、OWASPトップ10に掲載される「10の脆弱性」について、影響/まん延度/悪用のしやすさを紹介している。あわせて、WAFやアクセス制御、API管理といったセキュリティ製品が担うべき役割や重視すべき機能を解説しているので、ぜひ参考にしてほしい。
例えば、トップ10の中に挙げられている、SQLやNoSQLなどのインジェクションに対する欠陥についていえば、ベンダーが提供するWAFを用いれば、アプリケーションとAPIを保護できるが、脆弱性が発見されるたびに企業側でパッチを適用しなくてはならない。これを踏まえると、WAFの選定においては、カスタムルールによる仮想パッチの適用が可能かという点は、大きなポイントになるだろう。
本資料ではこの他、認証の不備、機微な情報の露出、XML外部エンティティ参照など、OWASPトップ10に掲載される「10の脆弱性」について、影響/まん延度/悪用のしやすさを紹介している。あわせて、WAFやアクセス制御、API管理といったセキュリティ製品が担うべき役割や重視すべき機能を解説しているので、ぜひ参考にしてほしい。