OWASP ASVS

要約

OWASP ASVSは、開発者、テスター、アーキテクトがウェブアプリケーションのセキュリティを検証するために使用する、詳細なコミュニティ主導のチェックリストです。

AuthN、AuthZ、暗号、APIセキュリティなどの領域をカバーし、L1（基本）からL3（重要アプリ）に分割されます。

認証ではありませんが、セキュリティベースラインの設定、ペンテストの指針、またはセキュアなアプリケーションをゼロから構築するのに最適です。

OWASP ASVS スコアカード概要:

• 開発者の労力: 中程度から高い（多くのドメインにわたる詳細なセキュリティ管理策を理解し、開発中にそれらを正しく実装する必要があります。テスト中のベンチマークとして使用されます）。
• ツール費用: 低から中程度（標準自体は無料。費用はASVS要件に対するテストに使用されるツール、すなわちSAST、DAST、IAST、ペンテストツールに関連する）。
• 市場への影響: 高い（Webアプリケーションセキュリティ検証のための広く尊重されている業界標準であり、セキュリティ要件とテストスコープを定義するための基礎として頻繁に使用されます。）
• 柔軟性: 高い（レベルによりリスクに基づいた調整が可能で、特定の要件は適用外と見なすことができます）。
• 監査の厳格度: 該当なし（認証のための正式な監査基準ではありませんが、厳格になり得るセキュリティ評価/テスト中に使用されます）。

OWASP ASVS とは何ですか？

The OWASP Application Security Verification Standard (ASVS)は、ウェブアプリケーションのセキュリティ検証に特化したセキュリティ要件とコントロールのフレームワークを提供するオープンソースプロジェクトです。主に2つの目的があります：

1. 開発者向け: セキュアな開発プラクティスを導くための詳細なセキュリティ要件リストを提供します。
2. テスター向け: セキュリティアセスメント、ペネトレーションテスト、またはセキュアコードレビュー中に、ウェブアプリケーションの技術的セキュリティ制御をテストするための基礎を提供します。

The OWASP ASVSは、主要なセキュリティドメインをカバーする章に構造化されています：

• V1: アーキテクチャ、設計、脅威モデリング
• V2: 認証
• V3: セッション管理
• V4: アクセス制御
• V5: バリデーション、サニタイズ、エンコーディング
• V6: 保存された暗号化
• V7: エラー処理とロギング
• V8: データ保護
• V9: 通信セキュリティ
• V10: 悪意のあるコード
• V11: ビジネスロジック
• V12: ファイルとリソース
• V13: API and Web Service
• V14: 設定

各章には、特定の検証要件（コントロール）がリストされています。重要な点として、OWASP ASVSは、深さと厳密さのレベルが段階的に上がっていく3つのセキュリティ検証レベル（ASVSレベル）を定義しています：

• レベル1（低保証）: リスクの低いアプリケーション向け、または最初のステップとして設計されています。容易に検出可能な脆弱性や、多くの場合自動的にチェックできる制御（例：基本的なペネトレーションテスト）に焦点を当てています。すべてのアプリケーションは、少なくともレベル1を目標とすべきです。
• レベル2（標準保証）: ほとんどのアプリケーション、特に機密データを処理したり重要なトランザクションを実行したりするアプリケーションに推奨されます。一般的なアプリケーションセキュリティリスク（OWASP Top 10など）に対する保護をカバーする、より詳細なチェックが必要です。設計/コードレビュー要素を含む、自動テストと手動テストの両方が必要です。
• レベル3（高保証）: 機密性の高いデータ（例：金融、医療、政府関連）を扱う重要なアプリケーション向けです。熟練した攻撃者に対抗するため、詳細な設計レビュー、コードレビュー、厳格なテストを含む包括的なセキュリティ検証が必要です。

要求されるレベルによって、各章内で満たすべき特定の検証要件が決定されます。

なぜそれが重要なのか

OWASP ASVSは、現代のウェブアプリケーションセキュリティの要石です。その理由は次のとおりです。

• 標準化の提供: 安全なWebアプリケーションを構成する要素について、一貫性があり、再現性のある標準を提供し、アドホックなテストを超越します。
• 実用的なガイダンス: 開発者には具体的な要件を、テスターには検証すべき特定の項目を提供し、高レベルの原則と実装の間のギャップを埋めます。
• リスクベースアプローチ: レベルシステムにより、組織はアプリケーションのリスクプロファイルに基づいて検証作業を調整できます。
• OWASP Top 10を補完: Top 10が一般的なリスクを列挙する一方で、ASVSはそれらのリスク（およびその他多くのリスク）を軽減するために必要な詳細なコントロールを提供します。
• 業界での認知: 開発者、セキュリティ専門家、およびソフトウェアを調達する組織によって、世界中で広く尊重され、利用されています。
• セキュアSDLCをサポート: SDLC全体（要件定義、設計/コーディングのガイド、検証テストの基礎形成）にわたって統合可能です。
• オープンソース＆コミュニティ主導: 世界中のセキュリティ専門家コミュニティによって無償で利用可能であり、常に更新されています。

OWASP ASVSを使用することで、セキュリティテストが徹底的で一貫性があり、ウェブアプリケーションの保護に実際に重要なコントロールに焦点を当てていることを確実にします。

何を、どのように実装するか (技術的側面とポリシー側面)

OWASP ASVSの実装は、認証取得が目的ではなく、標準を利用してセキュアなアプリケーションを構築し、検証することです。

1. 必要レベルの決定: アプリケーションのデータ機密性、ビジネス上の重要性、および規制要件に基づき、目標とするASVSレベル（1、2、または3）を選択します。
2. 要件への統合（設計フェーズ）： 設計および計画フェーズ中に、選択したレベル（および関連する章）のASVS要件をセキュリティ要件のインプットとして使用します。
   
   • 例 (V4アクセス制御): 異なるユーザーロールを必要とするアプリケーションを構築する場合、V4.1.1 (「アプリケーションが信頼されたサービス層でアクセス制御ルールを強制することを確認する...」) といったASVS第V4章の要件を確認し、それに応じてシステムを設計します。
3. 開発ガイド (コーディングフェーズ): 開発者はASVS要件をチェックリストとして使用し、安全なコーディングプラクティスが遵守されていることを確認します。
   
   • 例 (V5入力検証): 入力フォームを構築する際、V5.1.1 (「アプリケーションがHTTPパラメータ汚染に対する防御策を持っていることを確認する...」) およびV5.2.1 (「構造化データが厳密に型付けされていることを確認する...」) といったV5要件を参照します。これらの要件を満たす入力検証ライブラリとルーチンを実装します。
4. セキュリティテストの実施（検証フェーズ）： セキュリティテスター（ペンテスター、コードレビュー担当者）は、ターゲットレベルのASVSチェックリストを使用して評価を構成します。彼らは、各適用要件が満たされているかを確認します。
   
   • 例 (V2認証): レベル2を検証するテスターは、V2.2.1 (「パスワードの最小長が12文字であることを確認する...」)、V2.1.1 (「認証情報が回復可能な形式で保存されていないことを確認する...」)、およびV2.4.1 (「アカウントロックアウトメカニズムが存在することを確認する...」) といった要件を確認します。
5. ツール連携：
   
   • SAST/DASTツール: ASVS要件に関連する違反（例：V5に関連する潜在的なインジェクションの脆弱性の発見）をチェックするようにスキャナーを設定します。
   • チェックリスト管理：スプレッドシートやSecurityRATのようなツールを使用して、ASVS要件を管理し、適用可能性を追跡し、検証結果を記録します。
6. 文書化: ASVS要件がどのように満たされたか（または適用外と判断された理由）を、設計文書、コードコメント、テストレポートの一部として文書化します。

導入とは、SDLC全体でASVSリストを、安全な構築のためのガイドとして、またセキュリティ検証のためのチェックリストとして積極的に活用することです。

避けるべきよくある間違い

OWASP ASVSを使用する際には、これらの一般的なエラーに注意してください：

1. 誤ったレベルの選択：高リスクアプリケーションにレベル1を選択すること、またはリソースがレベル2の検証しか許さないのにレベル3を目指すことは、不十分または不完全な評価につながります。
2. 単なるペンテストチェックリストとして扱うこと: ASVSはペンテストだけでなく、レベル2および3では設計およびコードレビューの側面も必要とします。動的スキャンのみに依存すると、重要な脆弱性を見落とします。
3. 適用可能性の無視: 特定のアプリケーションのアーキテクチャ、技術スタック、または機能に関連するかどうかを考慮せずに、個々の要件を盲目的に適用しようとすること。
4. 開発者トレーニングの不足：必要な基盤となるセキュリティ概念とセキュアコーディングプラクティスについてトレーニングせずに、開発者がASVS要件を満たすことを期待すること。
5. 一貫性のない適用: あるテストではASVSを厳密に適用する一方で、次のテストでは表面的な適用にとどまり、一貫性のないセキュリティ態勢につながること。
6. 早期統合の欠如: ASVSをテストのために最終段階でのみ使用し、最初からセキュアな設計と開発に活用しないこと（これははるかに効果的です）。
7. 要件の誤解: 特定のASVS検証要件のニュアンスや意図を理解できないこと。

監査人/テスターが尋ねる内容（開発者向け）

OWASP ASVSを使用するセキュリティテスターは、開発者に対し（直接的、またはコード/設計レビューを通じて）、特定の要件がどのように満たされているかを実証するよう基本的に尋ねます。

• (V1) 「このアプリケーションの脅威モデルを提示できますか？」（1.1.1 - L2+）
• (V2) 「ユーザーパスワードはどのように保存されていますか？ハッシュ化の実装を提示できますか？」（2.2.2 - L1+）
• (V3) 「セッショントークンはどのように生成され、ハイジャックから保護されていますか？」（3.1.1, 3.3.1 - L1+）
• (V4) 「アプリケーションが標準ユーザーによる管理者機能へのアクセスをどのように防止するかを実演してください。」（4.1.1, 4.1.2 - L1+）
• (V5) 「この重要なAPIエンドポイントで使用されている入力検証ルーチンを提示してください。」（5.1.3、5.2.1 - L1+）
• (V6) 「アプリケーション内で暗号鍵はどこで、どのように管理されていますか？」（6.2.1 - L2+）
• (V7) 「アプリケーションは機密情報を漏洩することなくエラーをどのように処理しますか？」（7.1.1 - L1+）
• (V8) 「機密データはデータベースに保存される際にどのように保護されていますか（暗号化、マスキングなど）？」 (8.1.1 - L2+)
• (V13) 「APIリクエストの認証と認可はどのように処理されますか？」（13.1.1、13.2.1 - L1+）

彼らは、目標レベルの各関連ASVS要件への準拠を検証するため、コード、構成、設計ドキュメント、または実行中のアプリケーションにおいて具体的な証拠を求めます。

開発チームのためのクイックウィン

開発者はOWASP ASVSの原則を簡単に取り入れ始めることができます。

1. レベル1の基本への注力: 認証（V2）、アクセス制御（V4）、入力検証（V5）などの主要分野でレベル1の要件を確認し、実装することから始めます。これらは多くの一般的な脆弱性をカバーします。
2. セキュアなフレームワークのデフォルト設定を利用する: ウェブフレームワークに組み込まれたセキュリティ機能（例：セッション管理、CSRF保護、出力エンコーディング）を活用します。これらの機能はASVSに準拠していることがよくあります。
3. 検証とエンコード: すべての入力を一貫して検証し、ブラウザ、API、またはデータベース向けのすべての出力をエンコードします。(V5の核)
4. 基本的なロギングの実装: 主要なセキュリティイベント（ログイン、失敗、重要なトランザクション）がログに記録されることを確認します。（V7の核）
5. OWASP Top 10のレビュー: Top 10のリスクと、ASVSコントロールがそれらを軽減するのにどのように役立つかを理解します。
6. SASTツールの使用: SASTツールを設定し、一般的なASVS要件（例：安全でないパスワード処理、潜在的なインジェクションポイント）に関連する違反をフラグ付けします。

これを無視すると...（非準拠の結果）

OWASP ASVSに概説されている原則と要件を無視することは、基本的なWebアプリケーションセキュリティ制御を怠ることを意味します。その結果は直接的です。

• Higher Likelihood of Breaches: アプリケーションは、XSS、SQLインジェクション、認証の不備、アクセス制御の不備などの一般的な攻撃に対してより脆弱になります（ASVSの章に直接関連）。
• データ損失／盗難：脆弱性により攻撃者は機密性の高いユーザーデータを盗むことができ、プライバシー侵害や規制当局による罰金（例：GDPR）につながります。
• サービス中断: 攻撃によりアプリケーションがオフラインになり、事業中断や収益損失を引き起こす可能性があります。
• 評判の損害: セキュリティインシデントは顧客の信頼を損ない、企業のブランドイメージを傷つけます。
• セキュリティ監査/ペンテストの失敗: 顧客やパートナーがセキュリティテストを要求する場合、ASVS原則を考慮せずに構築されたアプリケーションは失敗する可能性が高く、取引やデプロイメントを妨げる可能性があります。
• 修正コストの増加: サイクル後半または侵害後に脆弱性を発見し修正することは、ASVSをガイドとしてセキュリティを組み込むよりもはるかにコストがかかります。

基本的に、OWASP ASVSを遵守しないことは、本質的に安全でないウェブアプリケーションを構築することを意味します。

よくあるご質問

OWASP ASVSは、SOC 2やISO 27001のようなコンプライアンス標準ですか？

いいえ。OWASP ASVSは検証標準であり、本質的にはウェブアプリケーションセキュリティテストの詳細なチェックリストです。これは、より広範な管理システムをカバーするSOC 2やISO 27001のような正式な監査や認証を伴いません。しかし、ASVSレベルを満たすことは、これらのより広範なフレームワーク内の技術的コントロール要件を満たすのに役立ちます。

OWASP ASVSとOWASP Top 10の違いは何ですか？

OWASP Top 10は、コミュニティの合意とデータに基づいて、最も重要な10のWebアプリケーションセキュリティリスクをリストアップします。OWASP ASVSは、それらのリスク（およびその他多くのリスク）を防止し、テストするために必要な詳細なセキュリティ制御と検証要件を提供します。Top 10は主要な問題が何かを伝え、ASVSはそれらに対する防御をどのように検証するかを伝えます。

どのASVSレベルを目標とすべきですか？

リスクに依存します。レベル1はすべてのアプリケーションの最小ベースラインです。レベル2は、機密データやトランザクションを扱うほとんどのアプリケーションに推奨されます。レベル3は、障害が重大な結果（例：財務、健康データ）をもたらす非常に重要なアプリケーション向けです。

特定のレベルの要件を100%満たす必要がありますか？

一般的に、適用されるすべての要件に対して「はい」です。この標準では、アプリケーションの技術や機能に真に適用されない要件を「該当なし」とマークすることを許可していますが、これには正当な理由が必要です。特定の要件を直接満たせない場合、補償的コントロールが受け入れられることがあります。

ASVSはペネトレーションテスト専用ですか？

いいえ。ペネトレーションテスト（特にレベル1）で多用されますが、ASVSレベル2および3では、アーキテクチャ、設計、ソースコードのレビューを含む、動的テストを超えた検証が明示的に求められます。これは、包括的なアプリケーションセキュリティ検証を目的としています。

ASVSに対してどのくらいの頻度で検証すべきですか？

検証はSDLCに統合されるべきです。これは、コードレビュー中に適切な要件を確認すること、CI/CDでASVSに準拠した自動テストを実行すること、そして主要なリリース前、または重要なアプリケーションに対して定期的に（例：毎年）完全なASVS評価（目標レベルで）を実施することを意味する場合があります。

ASVSはAPIやモバイルアプリに使用できますか？

OWASP ASVSの第V13章は、APIおよびWebサービス検証に特化しています。主にウェブアプリケーションに焦点を当てていますが、多くの原則が広く適用されます。モバイルに特化したものとしては、OWASPはMobile Application Security Verification Standard (MASVS) も提供しています。