セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 技術・仕組み ASVSの最適な使い方

ASVSの最適な使い方

技術・仕組み
facebook twitter
ASVSの最適な使い方
目次
  • ASVSとは
  • Webアプリケーションのセキュリティ分野における業界標準
  • ASVSの最適な使い方

ASVSとは

OWASP ASVSという言葉をご存じでしょうか?

世の中には、各業界内で用いられる「業界標準を定めた様々な規格・フレームワーク」が存在しています。政府などの公的機関が定めたもの、複数の企業が参画する業界団体により定められたもの、業界内に影響力のある特定の企業が推進するもの、そして、暗黙の了解で業界内で標準となっているもの(デファクトスタンダード)まで、その内容や種類は業界・分野ごとに数多くあります。このような基準や標準はIT業界にも当然ながら存在しています。それはセキュリティの分野も例外ではありません。

Webアプリケーションのセキュリティに関する基準で、特に広く知られているものが先述のOWASP ASVSです。OWASPとはOpen Web Application Security Projectの略称で、Webアプリケーションセキュリティの分野における各種ドキュメントやツール、技術などについて活発な議論が交わされているオープンなオンラインコミュニティです。そのOWASPが主導となって取り組み、WebアプリケーションおよびWebサービスを設計、開発、テストする際に必要となるセキュリティ要件、管理策の定義するフレームワークを確立したものASVSです。

Webアプリケーションのセキュリティ分野における業界標準

ASVSはApplication Security Verification Standardの略称で、直訳すると「アプリケーションセキュリティ検証基準」となります。OWASPでは、ASVSの目標として以下の二点を掲げています。

  • ・組織がセキュアなアプリケーションを開発および保守するのに役立つこと。
  • ・セキュリティサービスベンダ、セキュリティツールベンダ、および利用者が、各々の要件とプロダクトを調整できるようにすること。

つまり、Webアプリケーションを発注するオーナー、Webアプリケーションを作るベンダー、脆弱性を診断するベンダー、さらには利用者という異なる視点を持つ関係者における「Webアプリケーションを守るためのセキュリティ共通要件」を定めることで、Webアプリケーションセキュリティのあるべき姿の共通言語としての役割を果たすことを可能としています。

ASVSはオンラインコミュニティであるOWASPが定めたフレームワークであり、トレンドに沿った基準や要件の更新も活発に行われており、多言語化もされています。このような背景からも導入がしやすく、多くの企業、開発者がWebアプリケーションを開発する際のセキュリティ検証基準として採用している、いわばWebアプリケーション開発におけるセキュリティの業界内標準と言えます。

ASVSの最適な使い方

ASVSを用いたセキュリティ対策として、以下のような方法が挙げられます

  • 1.セキュリティ基準としてASVSを用いる
  • 2.セキュリティベンダーの選定基準としてASVSを用いる
  • 3.ASVSへの網羅度によりコストと品質を最適化する

1.セキュリティ基準としてASVSを用いる

ASVSは国際的に活用されている基準であり、Webアプリケーションに必要な検証基準を広く網羅しています。ASVSをベースとして組織のユースケースに合わせたセキュリティ基準を定めることで、セキュアかつ実用的な基準を構築できます。さらに、この基準をベースとして設計・コーディング・リリース基準などを定めることで、リリース基準を満たすために実用的な設計規則やコーディング規則を定めることが可能になります。

2.セキュリティベンダーの選定基準としてASVSを用いる

開発したWebアプリケーションには必ずセキュリティ検査が必要となります。この検査を自組織で行わない場合にはセキュリティベンダの選定が必要となりますが、この選定基準としてASVSを挙げることが考えられます。

これにより、以下のようなメリットが得られます。

・異なるプロジェクト間で診断基準を統一できる

・共通の診断基準によりベンダ間の診断揺れを軽減できる

・診断ベンダの力量を量る基準の一つとなる

多くのセキュリティベンダでは経済産業省が策定した「情報セキュリティサービス基準」に適合したWebアプリケーション脆弱性診断サービスを提供しますが、この際、ASVSなどの診断基準の明示が求められます。多くの診断ベンダが診断基準としてASVSを明示しているため、選定時の調査も容易となります。

3.ASVSを用いて診断コストと品質を最適化する

脆弱性診断を行う際にはコストと品質を考慮する必要があります。例えば、「システム全体にホワイトハッカーによるアドホックなペンテスト(侵入テスト)を実施する」という場合、膨大なコストが発生する上に、アドホックであるが故に観点への網羅性が保証できません。これに対してASVSなどの基準を用いて「システム全体をOWASP Top10 で診断し、機微情報を含む箇所はASVSを、決済などのクリティカルな機能をペンテストで・・・」のように「診断の基準と網羅性」を適切に定める事で品質と診断コストを最適化することが可能になります

ここで紹介したように組織独自の「オレオレ基準」ではなく、ASVSなどの第三者に広く認められた検証基準を用いることで、トレンドに即した最適化セキュリティのチェックが可能となります。

出典

OWASP(邦訳:Software ISAC)

「アプリケーションセキュリティ検証標準 4.0 最終版」

https://github.com/OWASP/ASVS/blob/master/4.0/OWASP-Application-Security-Verification-Standard-4.0-ja.pdf
あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

お問い合わせ

クラウドの脆弱性診断にご興味があるかたはこちら

お問い合わせ
この記事の著者 海瀬 秀晃

国内某大手メーカーの社内VPNの運用・管理業務に携わり、ネットワークインフラ管理業務を経験。
2013年よりサイバーセキュリティ業界に足を踏み入れる。2016年には国内初となるSaaS型 WAFの自社開発を実現し、商品化・販売を行う。2020年2月 株式会社SHIFT SECURITYに入社し、Web脆弱性診断の診断品質を担保する業務に従事。
情報処理安全確保支援士。恐妻家。三兄弟の父。

\ 記事をシェアする /
facebook twitter

こちらの記事もおすすめ!

クラウド診断とプラットフォーム診断どう違う?

クラウド診断とプラットフォーム診断の違いってなに

プラットフォーム診断は対象のシステムやプラットフォームに対し、外部のネットワークからの不正アクセスを受けるような設定(運用上不要なポートの解放等)が存在しないか確認したり、システム内で稼働しているサービスに対し公開されている脆弱性が残存していないかといった観点で診断を行います。

技術・仕組み
クラウド診断がなぜ必要?

クラウド診断がなぜ必要なのか

クラウド診断は「クラウドサービス」の設定状況をセキュリティの観点からチェックする診断です。 クラウド診断では AWSのようなPaaS、

技術・仕組み
関連カテゴリ記事
CATEGORY

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ