OWASPとは？ わかりやすく解説

ウィキペディア

OWASP

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2025/09/12 10:59 UTC 版)

OWASP

設立	2001年[1]
設立者	Mark Curphey[1]
種類	501(c)(3) 非営利団体
目的	ウェブセキュリティ、アプリケーションセキュリティ、脆弱性評価
組織的方法	業界標準、カンファレンス、ワークショップ
会員数	約13,000人のボランティア (2017年)[2]
重要人物	Andrew van der Stock（エグゼクティブ・ディレクター）、Kelly Santalucia（イベント・法人サポート担当ディレクター）、Harold Blankenship（テクノロジー・プロジェクト担当ディレクター）、Jason C. McDonald（コミュニティ開発担当ディレクター）、Dawn Aitken（オペレーションズ・マネージャー）、Lauren Thomas（イベント・コーディネーター）[3]
収入	230万ドル (2017年)[4]
ウェブサイト	owasp.org
テンプレートを表示

Open Worldwide Application Security Project（オープン・ワールドワイド・アプリケーション・セキュリティ・プロジェクト、旧称：Open Web Application Security Project^[5]）（略称：OWASP）は、オンライン・コミュニティであり、IoT、システムソフトウェア、ウェブアプリケーションセキュリティの分野で、自由に利用できる記事、方法論、ドキュメント、ツール、テクノロジーを作成している。^[6][7][8] OWASPは無料でオープンなリソースを提供している。The OWASP Foundationと呼ばれる非営利団体によって運営されている。OWASP Top Tenは、40以上の提携組織から集められた包括的なデータに基づいた最近の研究成果として発表されたものである。

歴史

2001年9月9日 - Mark CurpheyがOWASPを立ち上げた。^[1]

2003年後半から2011年9月 - Jeff WilliamsはOWASPのボランティア議長を務めた。

2004年 - 米国で設立された501(c)(3)非営利団体であるOWASP Foundationは、OWASPのインフラストラクチャーとプロジェクトを支援。

2011年 - OWASPはベルギーにおいてもOWASP Europe VZWという名称で非営利団体として登録される。^[9]

2015年 - Matt Kondaが理事会の議長を務めていた。^[10]

2023年2月 - OWASP Foundationのグローバル理事であるBil Corryによって^[11]、理事会が名称をOpen Web Application Security Projectから現在の名称に変更し、WebをWorldwideに置き換えることを投票で決定したとTwitter（現X）で報告された。^[5]

出版物とリソース

• OWASP Top Ten: 「Top Ten」は2003年に初めて公開され、定期的に更新されている。^[12] 組織が直面する最も重大なリスクのいくつかを特定することで、アプリケーションセキュリティに対する意識向上を目的としている。^[13][14][15] MITRE、PCI DSS^[16]、DISA-STIG（セキュリティ技術導入ガイド）、そしてアメリカのFTC^[17][18]を含む多くの標準、書籍、ツール、そして多くの組織がTop 10プロジェクトを参照している。
• OWASP Software Assurance Maturity Model: Software Assurance Maturity Model (SAMM) プロジェクトの使命は、あらゆる種類の組織がソフトウェアセキュリティの体制を分析し、改善するための効果的で測定可能な方法を提供することである。中心的な目的は、柔軟な自己評価モデルを通じて、セキュアなソフトウェアを設計、開発、展開する方法について組織の意識を高め、教育することである。SAMMはソフトウェアのライフサイクル全体をサポートし、テクノロジーやプロセスに依存しない。SAMMモデルは、すべての組織に通用する単一のレシピは存在しないことを認識し、進化的でリスク駆動型になるように設計されている。^[19]
• OWASP Development Guide: Development Guideは実践的なガイダンスを提供し、J2EE、ASP.NET、PHPのコードサンプルを含んでいる。このガイドは、SQLインジェクションから、フィッシング、クレジットカード情報の取り扱い、セッション固定、クロスサイトリクエストフォージェリ、コンプライアンス、プライバシー問題といった現代的な懸念事項まで、広範なアプリケーションレベルのセキュリティ問題を網羅している。
• OWASP Testing Guide: OWASP Testing Guideには、組織が独自に実装できる「ベストプラクティス」のペネトレーションテストフレームワークと、最も一般的なWebアプリケーションおよびWebサービスのセキュリティ問題をテストする手法を説明した「低レベル」のペネトレーションテストガイドが含まれている。バージョン4は2014年9月に60人の協力者からの意見を取り入れて公開された。^[20]
• OWASP Code Review Guide: コードレビューガイドは現在バージョン2.0で、2017年7月にリリースされた。
• OWASP Application Security Verification Standard (ASVS): アプリケーションレベルのセキュリティ検証を実施するための標準。^[21]
• OWASP XML Security Gateway (XSG) Evaluation Criteria Project.^[22]
• OWASP Top 10 Incident Response Guidance: このプロジェクトは、インシデントレスポンス計画へのプロアクティブなアプローチを提供する。この文書の対象読者には、ビジネスオーナーからセキュリティエンジニア、開発者、監査、プログラムマネージャー、法執行機関、法務顧問までが含まれる。^[23]
• OWASP ZAP Project: Zed Attack Proxy (ZAP) は、Webアプリケーションの脆弱性を見つけるための使いやすい統合ペネトレーションテストツールである。開発者や機能テスターなど、ペネトレーションテストの経験が浅い人々を含む、幅広いセキュリティ経験を持つ人々が使用できるように設計されている。
• Webgoat: セキュアなプログラミング手法のガイドとしてOWASPが作成した、意図的に脆弱に作られたWebアプリケーション。^[1] ダウンロードすると、アプリケーションにはチュートリアルと、学生に脆弱性を悪用する方法を教えるための様々なレッスンが付属しており、セキュアなコードを書く方法を教えることを目的としている。
• OWASP AppSec Pipeline: アプリケーションセキュリティ (AppSec) Rugged DevOps Pipelineプロジェクトは、アプリケーションセキュリティプログラムのスピードと自動化を向上させるために必要な情報を見つけるための場所である。AppSec Pipelineは、DevOpsとリーンの原則を取り入れ、それをアプリケーションセキュリティプログラムに適用するものである。^[24]
• OWASP Automated Threats to Web Applications: 2015年7月発行。^[25] OWASP Automated Threats to Web Applicationsプロジェクトは、アーキテクト、開発者、テスターなどがクレデンシャルスタッフィングなどの自動化された脅威から防御するのに役立つ決定的な情報やその他のリソースを提供することを目的としている。このプロジェクトでは、OWASPが定義した上位20の自動化された脅威の概要が示されている。^[26]
• OWASP API Security Project: アプリケーションプログラミングインタフェース（API）に特有の脆弱性とセキュリティリスクを理解し、軽減するための戦略とソリューションに焦点を当てている。^[27]

認定資格

OWASPは、特定のセキュリティ分野における学生の知識を認定するためのいくつかの認定スキームを持っている。

セキュリティ基礎

テクノロジースタック全体に適用可能なセキュリティ標準のベースラインセットであり、学習者にOWASPトップ10の脆弱性について教えるものである。^[28]

• A01:2021 アクセス制御の不備^[29]
• A02:2021 暗号化の失敗^[30]
• A03:2021 インジェクション^[31]
• A04:2021 セキュアバイデザイン^[32]
• A05:2021 セキュリティ設定のミス - 脆弱性につながる可能性のあるセキュリティ設定、権限、および制御の不適切な構成^[33]
• A06:2021 脆弱で古くなったコンポーネントの使用^[34]
• A07:2021 識別と認証の失敗^[35]
• A08:2021 ソフトウェアとデータの整合性の不備^[36]
• A09:2021 セキュリティログと監視の失敗
• A10:2021 サーバサイドリクエストフォージェリ (SSRF) - Webアプリケーションがユーザーから提供されたURLを検証せずにリモートリソースを取得することによって引き起こされる^[37][38]

受賞歴

OWASP組織は、2014年にヘイマーケット・メディア・グループのSC Magazineエディターズ・チョイス賞を受賞した。^[7][39]

脚注

1. ^ ^{a b c d} Huseby, Sverre (2004). Innocent Code: A Security Wake-Up Call for Web Programmers. Wiley. p. 203. ISBN 0470857447. https://archive.org/details/innocentcodesecu0000huse 
2. ^ “OWASP Foundation's Form 990 for fiscal year ending Dec. 2017” (2018年10月26日). 2025年9月12日閲覧。
3. ^ “OWASP Foundation Staff”. OWASP (2023年2月12日). 2025年9月12日閲覧。
4. ^ “OWASP FOUNDATION INC”. Nonprofit Explorer. プロパブリカ (2013年5月9日). 2025年9月12日閲覧。
5. ^ ^{a b} Corry, Bil [@bilcorry] (25 February 2023). “A change you might notice about @owasp , the Board voted to change the "W" from "Web" to "Worldwide", making it the "Open Worldwide Application Security Project"”. X（旧Twitter）より2025年9月12日閲覧.
6. ^ “OWASP top 10 vulnerabilities”. developerWorks. IBM (2015年4月20日). 2025年9月12日閲覧。
7. ^ ^{a b} “SC Magazine Awards 2014”. Media.scmagazine.com. 2014年9月22日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。
8. ^ “OWASP Internet of Things”. 2025年9月12日閲覧。
9. ^ “OWASP Europe”. OWASP. 2016年4月17日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。
10. ^ “Board”. OWASP. 2017年9月16日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。
11. ^ “Global Board” (英語). owasp.org. 2024年4月29日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。
12. ^ “OWASP Top Ten” (英語). owasp.org. 2024年7月6日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。
13. ^ Trevathan, Matt (2015年10月1日). “Seven Best Practices for Internet of Things”. Database and Network Journal. オリジナルの2015年11月28日時点におけるアーカイブ。. https://web.archive.org/web/20151128082719/https://www.highbeam.com/doc/1G1-432063283.html 
14. ^ Crosman, Penny (2015年7月24日). “Leaky Bank Websites Let Clickjacking, Other Threats Seep In”. American Banker. オリジナルの2015年11月28日時点におけるアーカイブ。. https://web.archive.org/web/20151128082719/https://www.highbeam.com/doc/1G1-375828488.html 
15. ^ Pauli, Darren (2015年12月4日). “Infosec bods rate app languages; find Java 'king', put PHP in bin”. The Register. 2025年9月12日閲覧。
16. ^ “Payment Card Industry (PCI) Data Security Standard”. PCI Security Standards Council. p. 55 (2013年11月). 2025年9月12日閲覧。
17. ^ “Open Web Application Security Project Top 10 (OWASP Top 10)”. Synopsys. Synopsys, Inc (2017年). 2025年9月12日閲覧。 “多くの団体（PCIセキュリティ基準審議会、アメリカ国立標準技術研究所（NIST）、連邦取引委員会（FTC）など）が、Webアプリケーションの脆弱性を緩和し、コンプライアンス要件を満たすための不可欠なガイドとして、OWASP Top 10を定期的に参照しています。”
18. ^ “Authorization remains #1 issue-OWASP 2023 Top 10 List” (英語). Cerbos. 2025年9月12日閲覧。
19. ^ “What is OWASP SAMM?”. OWASP SAMM. 2025年9月12日閲覧。
20. ^ Pauli, Darren (2014年9月18日). “Comprehensive guide to obliterating web apps published”. The Register. https://www.theregister.co.uk/2014/09/18/guide_to_obliterating_web_apps_published/ 2025年9月12日閲覧。 
21. ^ Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees (2015). Foundations of Information Security Based on ISO27001 and ISO27002 (3 ed.). Van Haren. p. 144. ISBN 9789401800129. https://books.google.com/books?id=l6ePCgAAQBAJ&pg=PA144 
22. ^ “Category:OWASP XML Security Gateway Evaluation Criteria Project Latest”. Owasp.org. 2014年11月3日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。
23. ^ “OWASP Incident Response Project-OWASP”. 2019年4月6日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。
24. ^ “OWASP AppSec Pipeline”. Open Web Application Security Project (OWASP). 2020年1月18日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。
25. ^ “AUTOMATED THREATS to Web applications”. OWASP (2015年7月). 2025年9月12日閲覧。
26. ^ “OWASP Automated Threats to Web Applications” (英語). owasp.org. 2024年6月29日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。
27. ^ “OWASP API Security Project-OWASP Foundation”. OWASP. 2025年9月12日閲覧。
28. ^ “qa.com” (英語). www.qa.com. 2025年9月12日閲覧。
29. ^ “A01 Broken Access Control-OWASP Top 10:2021”. owasp.org. 2025年9月12日閲覧。
30. ^ “A02 Cryptographic Failures-OWASP Top 10:2021”. owasp.org. 2025年9月12日閲覧。
31. ^ “A03 Injection-OWASP Top 10:2021”. owasp.org. 2025年9月12日閲覧。
32. ^ “A04 Insecure Design-OWASP Top 10:2021”. owasp.org. 2025年9月12日閲覧。
33. ^ “A05 Security Misconfiguration-OWASP Top 10:2021”. owasp.org. 2025年9月12日閲覧。
34. ^ “A06 Vulnerable and Outdated Components-OWASP Top 10:2021”. owasp.org. 2025年9月12日閲覧。
35. ^ “A07 Identification and Authentication Failures-OWASP Top 10:2021”. owasp.org. 2025年9月12日閲覧。
36. ^ “A08 Software and Data Integrity Failures-OWASP Top 10:2021”. owasp.org. 2025年9月12日閲覧。
37. ^ “A10 Server Side Request Forgery (SSRF)-OWASP Top 10:2021”. owasp.org. 2025年9月12日閲覧。
38. ^ “Server Side Request Forgery Prevention-OWASP Cheat Sheet Series”. cheatsheetseries.owasp.org. 2025年9月12日閲覧。
39. ^ “Winners”. Awards.scmagazine.com. 2014年8月20日時点のオリジナルよりアーカイブ。2025年9月12日閲覧。 “Editor's Choice [...] Winner: OWASP Foundation”

外部リンク

• 公式ウェブサイト