Contrast Securityのプラットフォームのポリシールールとコンプライアンスレポート機能により、開発から本番環境まで2021年版OWASP Top 10に対応

[本プレスリリースは、2021年に米国Contrast Securityより配信された内容の日本語訳となります]

アプリケーションセキュリティにおけるリーディングカンパニーであるContrast Securityは、当社が提供するアプリケーションセキュリティプラットフォームによって、企業が2021年版OWASP Top 10のカテゴリーに対応出来るようになったことを発表しました。

OWASP Top 10は、企業が直面するアプリケーションのセキュリティリスクに関する意識を高めるために2003年に策定されました。以来、企業がアプリケーションセキュリティを確認するための主要な基準の1つになり、現在では多くの企業においてアプリケーションリスクの確認や管理に利用されています。今年のOWASP Top 10には、3つの新たなカテゴリが追加され、企業が認識すべき新たな脅威を反映しています。

3つの新しいカテゴリは次の通りです。

• 安全が確認されない不安な設計：このリスクは、アプリケーションの基盤となるアーキテクチャがアプリケーションの安全性に大きな影響を与える事を反映しています。多くの企業が「シフトレフト」について言及していますが、ほとんどの場合、コーディングを開始する前にシフトすることを意味するものではありません。これに対して、この新しいカテゴリでは、開発チームが時間をかけて脅威モデリングを実行し、強力でシンプルかつ効果的な防御使用を促進するアーキテクチャにより新しいアプリケーションを設計することを奨励しています。
• ソフトウェアとデータの整合性の不具合：このリスクは、統合開発環境（IDE）から本番環境まで、ソフトウェア開発ライフサイクル（SDLC）全体でソフトウェアの整合性を継続することに重点を置いています。このカテゴリでは、データ破損に関連する問題もカバーし、データ整合性技術の使用を奨励しています。
• サーバーサイド・リクエスト・フォージェリ（SSRF）：SSRFのリスクは、ユーザーがリクエストしたURLを検証せずにWebアプリケーションがリモートリソースを取得する際に発生します。これにより、攻撃者はアプリケーションに巧妙に細工されたリクエストを予期しない宛先に送信するよう強制しファイアウォール、VPN、または別の種類のネットワークアクセス制御リスト（ACL）の保護をバイパスします。

2021年版OWASP Top 10で3つの新しいカテゴリーがリリースされ、既存のカテゴリーにも大幅な変更が加えられたことで、企業は、新しいOWASP Top 10を活用して、自社のアプリケーションセキュリティソリューションが急速に拡大する範囲をサポート出来るかどうかを判断することが出来ます。新たに作られた「安全が確認されない不安な設計」カテゴリーによって、企業はアプリケーションの基盤となるアーキテクチャに注意を払う必要があります。Contrast Securityのプラットフォームは実行中のアプリケーションの動作に基づいてアーキテクチャ図を生成するため、アプリケーションのセキュリティおよび開発チームは、これをアプリケーションアーキテクチャの安全性確認に活用出来ます。更新されたOWASP Top 10では、増加するソフトウェアサプライチェーンへの攻撃を考慮し、セキュリティも強化されています。Contrastのプラットフォームには、依存関係かく乱などのソフトウェアサプライチェーンの安全対策用にカスタムビルドされたポリシールールが含まれており、他の多くのアプリケーションセキュリティのアプローチとは異なり、セキュリティと保護を開発から本番環境まで実現出来ます。

Contrastのプラットフォームは、企業がOWASP Top 10の各カテゴリーに関連するリスクを管理するために最適なソリューションであり、主な機能は次の通りです。

• OWASP Top10およびその他の多くのリスクに対して、開発者が最初に実行する自動アプリケーションセキュリティテスト
• 実行時の悪用可能性分析を含む、OWASP Top 10の脆弱性に対する完全なオープンソースセキュリティテスト
• 本番環境を可視化し、本番環境でのOWASP Top 1010の脆弱性が悪用されないように保護するランタイム保護
• 開発チームと運用チームが、すでに使用しているツールによってOWASP Top 10に対応するための多数のインテグレーション機能
• OWASP Top10を含む、さまざまな基準に対応したコンプライアンスレポートの作成