OWASPとは何ですか？

Webアプリケーションのセキュリティ向上を目的とした非営利団体。OWASP Top 10をはじめとするセキュリティガイドラインやツールを無償で公開している。

OWASPのポイントは？

OWASP Top 10はWebアプリの重大リスクトップ10をまとめたもので、業界標準の指針。ZAP（Zed Attack Proxy）などの無償セキュリティ診断ツールも提供している。世界中にローカルチャプター（支部）があり、日本にもOWASP Japanがある。セキュリティ対策のチートシートやテストガイドなど豊富なドキュメントを公開している

【おわすぷ】

OWASP とは？

💡 Webセキュリティの「教科書」を作る世界的な非営利団体

📌 このページのポイント

OWASP Top 10はWebアプリの重大リスクトップ10をまとめたもので、業界標準の指針
ZAP（Zed Attack Proxy）などの無償セキュリティ診断ツールも提供している
世界中にローカルチャプター（支部）があり、日本にもOWASP Japanがある
セキュリティ対策のチートシートやテストガイドなど豊富なドキュメントを公開している

OWASP Top 10 脆弱性の分類イメージ

ひよこ

OWASP Top 10って何がランクインしてるの？

ペンギン先生

2021年版だと、1位がアクセス制御の不備、2位が暗号化の失敗、3位がインジェクション（SQLインジェクションなど）だよ。XSSやCSRFなどお馴染みの攻撃から、設定ミスやコンポーネントの脆弱性まで幅広くカバーしているんだ。

ひよこ

エンジニアはOWASPを勉強すべき？

ペンギン先生

Webアプリを作るなら必須と言っていいよ。OWASP Top 10は「最低限知っておくべきリスク」のリストだし、チートシートシリーズは具体的な対策コードまで載ってるんだ。セキュリティの基礎を効率よく学ぶのに最高のリソースだよ。

ひよこ

OWASP ZAPって何？

ペンギン先生

無償で使えるWebアプリ用のセキュリティ診断ツールだよ。自分のWebアプリに対してプロキシとして動作し、XSSやSQLインジェクションなどの脆弱性を自動でスキャンしてくれるんだ。商用ツールに匹敵する機能があるから、個人開発者にも企業にも人気があるよ。

ひよこ

OWASPのドキュメントは日本語で読める？

ペンギン先生

OWASP Japanコミュニティが一部のドキュメントを翻訳しているよ。Top 10は日本語版があるし、チートシートの翻訳も進んでいるんだ。英語が得意でなくても、まずは日本語の資料から始められるよ。

まとめ：ざっくりこれだけ覚えればOK！

「OWASP」って出てきたら「Webセキュリティのベストプラクティスやツールを無償で公開している団体だな」と思えればだいたいOK！

📖 おまけ：英語の意味

「Open Worldwide Application Security Project」＝オープンなグローバルアプリケーションセキュリティプロジェクト

💬 もともとOpen Web Application Security Projectだったけど、2023年に名称変更されたよ

← 用語集にもどる