製品資料
アカマイ・テクノロジーズ合同会社
「OWASPトップ10」掲載の脆弱性に対処、開発者/ベンダー双方が担う役割とは?
OWASPトップ10はアプリケーション開発者が注意すべき脆弱性をまとめたものだが、対策を考える上では、ベンダーと企業の双方が担う役割を理解することが重要になる。それを踏まえながら、セキュリティ製品選定で重視すべき点を解説する。
コンテンツ情報
公開日 |
2020/10/05 |
フォーマット |
PDF |
種類 |
製品資料 |
ページ数・視聴時間 |
8ページ |
ファイルサイズ |
1.58MB
|
要約
Webアプリケーションのセキュリティリスクをまとめた「Open Web Application Security Project(OWASP)トップ10」。これは開発者が考慮すべき脆弱性について注意を喚起することを目的としたものだが、対策を考える上で重要になるのが、セキュリティベンダーと企業の双方が、どんな役割を担うのかを理解することだ。
例えば、トップ10の中に挙げられている、SQLやNoSQLなどのインジェクションに対する欠陥についていえば、ベンダーが提供するWAFを用いれば、アプリケーションとAPIを保護できるが、脆弱性が発見されるたびに企業側でパッチを適用しなくてはならない。これを踏まえると、WAFの選定においては、カスタムルールによる仮想パッチの適用が可能かという点は、大きなポイントになるだろう。
本資料ではこの他、認証の不備、機微な情報の露出、XML外部エンティティ参照など、OWASPトップ10に掲載される「10の脆弱性」について、影響/まん延度/悪用のしやすさを紹介している。あわせて、WAFやアクセス制御、API管理といったセキュリティ製品が担うべき役割や重視すべき機能を解説しているので、ぜひ参考にしてほしい。