OWASP and Application Security(OWASP とアプリケーションセキュリティ)
OWASP が提供する Top 10 2025・ASVS・SAMM・Cheat Sheet Series の全体像を俯瞰し、 アプリケーションセキュリティを組織・開発・検証の 3 層で体系化する地図記事。
article technology ja OWASP が提供する Top 10 2025・ASVS・SAMM・Cheat Sheet Series の全体像を俯瞰し、 アプリケーションセキュリティを組織・開発・検証の 3 層で体系化する地図記事。OWASP とアプリケーションセキュリティ
OWASP(Open Worldwide Application Security Project)は、アプリケーションセキュリティ(AppSec)の標準・ガイドライン・ツールを無償公開する非営利コミュニティである。Top 10・ASVS・SAMM・Cheat Sheet Series の 4 本柱が AppSec の「共通言語」として業界全体に浸透しており、組織・開発者・監査者がリスクを整合的に語る基盤を提供している。情報カットオフ ~2025-08 のため、OWASP Top 10 2025 の正式公開時期などは 2026-05 時点で要確認。
OWASP の役割と位置付け
OWASP は 2001 年に設立されたコミュニティ駆動の非営利団体で、特定ベンダーに依存しない中立的な AppSec 標準を提供する。主要な成果物はすべて無償公開され、企業のセキュリティポリシー・開発ガイドライン・コンプライアンス要件(PCI DSS / ISO 27001 など)で参照される。
OWASP の価値は標準の統一にある。組織・開発チーム・ペネトレーションテスター・規制当局が同じ語彙でリスクを議論できる共通フレームワークを提供し、セキュリティ投資の優先順位付けを容易にする。
OWASP Top 10 2025
OWASP Top 10 は Web アプリケーションの最重要リスクカテゴリを 10 項目でランク付けしたリスト認知標準であり、開発者・セキュリティエンジニア・経営層が共有するリスク言語として機能する。2025 版での主要変更点は次の通り。
| 順位 | カテゴリ | 備考 |
|---|---|---|
| A01 | Broken Access Control | 2021 年から引き続き 1 位 |
| A02 | Security Misconfiguration | 2021 年 A05 から上昇 |
| A03 | Cryptographic Failures | |
| A06 | Vulnerable and Outdated Components → Software Supply Chain Failures に再編 | サプライチェーンリスクを明示化 |
特に「Software Supply Chain Failures」への名称変更は、xz utils バックドア( CVE-2024-3094)や tj-actions/changed-files( CVE-2025-30066)などの事例を反映し、依存関係・ビルドパイプライン全体のリスクを包括的に示している。
重要な誤解: OWASP Top 10 は包括的なセキュリティチェックリストではなく、リスクの優先順位付けのための「最重要 10 項目」に過ぎない。全項目を網羅しても AppSec が完成するわけではない。
ASVS(Application Security Verification Standard)
ASVS は Web アプリケーションのセキュリティ検証要件を体系化した標準で、3 つの検証レベルを定義する。
- L1(最低限): 自動スキャンで検証可能な基本的なセキュリティ。一般アプリケーション向け。
- L2(標準): 手動検証を含む深い防御。機密データを扱うアプリケーション向け。
- L3(高度): 医療・金融・重要インフラなど、最高水準のセキュリティが求められる領域。
ASVS の各要件は「検証の証明方法」まで記述しており、ペネトレーションテスト・コードレビュー・脅威モデリングの範囲を定義する際の実用的な基準として活用できる。OWASP Top 10 が「何が問題か」を示すのに対し、ASVS は「どこまで検証すべきか」を定義する。
SAMM(Software Assurance Maturity Model)
SAMM は組織の AppSec プログラム全体の成熟度を評価・改善するためのフレームワークで、次の 5 ビジネス機能・15 プラクティスで構成される。
| ビジネス機能 | プラクティス例 |
|---|---|
| ガバナンス | セキュリティポリシー / 教育・指導 / 戦略 |
| 設計 | 脅威評価 / セキュリティ要件 / セキュアアーキテクチャ |
| 実装 | セキュアビルド / セキュアデプロイ / 欠陥管理 |
| 検証 | アーキテクチャ評価 / 要件主導テスト / セキュリティテスト |
| 運用 | インシデント管理 / 環境管理 / 運用可観測性 |
各プラクティスは成熟度スコア 0〜3 で評価され、組織が「現状把握 → 目標設定 → ロードマップ策定」を段階的に進めることができる。SAMM は 1 記事 1 開発チームの視点ではなく、CTO・CISO レベルの組織横断プログラムを設計する際に使用する。
Cheat Sheet Series
Cheat Sheet Series は特定の実装トピック(入力バリデーション・認証・セッション管理・SQL インジェクション対策など)に関する実践的な実装ガイドを集成したものである。100 以上のチートシートが整備されており、開発者が「何を書けばよいか」を即座に参照できる形式になっている。
代表的なチートシート:
- Authentication Cheat Sheet: 多要素認証・パスワード保存( bcrypt / Argon2)・アカウントロック
- SQL Injection Prevention Cheat Sheet: パラメータ化クエリ・ORM 利用・入力バリデーション
- Cross-Site Scripting Prevention Cheat Sheet: コンテキスト別エンコーディング・CSP 設定
- Secrets Management Cheat Sheet: シークレットの保存・ローテーション・注入パターン
その他の主要プロジェクト
- WSTG(Web Security Testing Guide): Web アプリのペネトレーションテスト手順書。テスターと開発者が検証スコープを合意するための参照源。
- ZAP(Zed Attack Proxy): DAST ツール。CI/CD に統合してアクティブスキャンを自動化できる。現在は Linux Foundation に移管。
- Dependency-Check: コンポーネント( JAR / npm など)の既知脆弱性( CVE)を検出する SCA ツール。
アンチパターン
| アンチパターン | 問題 |
|---|---|
| Top 10 を「チェックリスト」として全消化すれば完了と考える | Top 10 はリスクの優先順位付けであり、AppSec の完全な網羅ではない |
| ASVS の検証レベル( L1/L2/L3)を設定せずに「ASVS 対応済み」と表明する | どのレベルを達成したかの明示がなければコンプライアンス主張が無意味 |
| SAMM 評価を実施するが改善ロードマップを作成しない | 成熟度評価は手段であり、スコア取得が目的ではない |
| Cheat Sheet を参照せずにセキュリティ実装を自己流で行う | 車輪の再発明と抜け漏れのリスク |