ソフトウェアのセキュリティ向上に取り組んでいる非営利団体、OWASP(Open Worldwide Application Security Project)がOWASP Mobile Top10を8年ぶりに更新するとともに初となるIoTセキュリティテストガイドを発表しました。
アプリケーションのセキュリティに取り組む
OWASPはアプリケーションを取り巻くセキュリティの課題に取り組んでいる世界規模のオープンなコミュニティです。アメリカにあるOWASP財団が運営しています。世界に支部があり、日本にもOWASP Japanがあります。OWASPの活動としてよく知られているものにOWASP Top 10があります。これはWebアプリケーションのセキュリティに関してOWASPがもっとも重大と判断するトップ10のリスクをランキングで示したものです。このランキングはWebアプリケーションを取り巻く状況の推移に応じて随時更新されているということです。
OWASP Top 10のモバイル版であるOWASP Mobile Top 10がこのほど8年ぶりに更新されました。その内容は以下のようなものです。
- 資格情報の不適切な使用
- 不十分なサプライチェーンセキュリティ
- 安全でない認証/認可
- 不十分な入力/出力検証
- 安全でない通信
- 不適切なプライバシー管理
- 不十分なバイナリ保護
- セキュリティの設定ミス
- 安全でないデータストレージ
- 不十分な暗号化
OWASP Mobile Top 10は2016年以来8年ぶりに更新されたということなのですが、2016年版ではランキングの1位にプラットフォームの不適切な使用をあげていましたが、2024年版では資格情報の不適切な使用が1位となり、プラットフォームの不適切な使用はリストから消えています。また、2016年版で2番目にあげていた安全でないデータストレージは2024年版では9番目となっており、2024年版の2番目は不十分なサプライチェーンセキュリティと2016年版にはない項目となっています。8年間で変化したモバイルアブリを取り巻くセキュリティ環境を反映したランキングです。
特定の脅威モデルに焦点を当てたテストをガイド
また、OWASPは最近、初めての取り組みとなるIoTセキュリティテストガイドを発表しました。このガイドはIoTデバイスとシステムのセキュリティのテストに関する包括的な洞察を提供しているということです。例えば監視カメラであるCCTVカメラには高度なセキュリティが求められますが、完成されたデバイスを包括的にテストするだけでは不十分で、特定の脅威モデルに対して個々の部品やインターフェースのセキュリティに焦点を当てたテストが求められます。OWASPのIoTセキュリティテストガイドを使用することで、デバイスの特徴に沿った脅威のシナリオに対するセキュリティテストを実施することができるということです。
ネットワークに接続された家電製品など多くのIoTデバイスは、メーカーやオペレーター、エンドユーザーに新たなリスクをもたらし、潜在的な脅威となる恐れがあります。均質なレベルのIoTセキュリティを構築し維持するためにはかなりの労力が必要だとOWASPは言います。メーカーや通信事業者は自社のIoTソリューションのセキュリティレベルを定期的に評価する必要があり、OWASPのIoTセキュリティテストガイドはセキュリを評価するテストをガイドしサポートする取り組みだということです。
■出典
https://owasp.org/www-project-mobile-top-10/
https://owasp.org/blog/2024/03/01/iot-security-testing-guide.html