OWASP トップ 10 のリスクへの対処

OWASP Top 10 は、開発者と Web アプリケーションのセキュリティに関する標準啓発文書です。これは、Web アプリケーションにとって最も重要なセキュリティリスクに関する幅広いコンセンサスを表しています。OWASP トップ 10 のリスクは、AWS が提供するツールとガイダンスで対処できます。たとえば、Well Architected Framework のセキュリティ柱は、企業が安全な設計を構築するのに役立ちます。AWS WAF は重要なツールであり、OWASP トップ 10 に記載されているリスクの一部に対する防御の第一層として使用されます。

OWASP トップ 10 のリスクに対処するための最初のステップは、アプリケーションが直面する脅威をモデル化することです。例えば、アプリケーションに関連する脅威を特定する必要があります。SQLi の脅威は、主に SQL データベースを使用するアプリケーションに関連しています。次に、それぞれの脅威について、それらをどのように軽減するかを検討します（たとえば、どのツールを使用して、どのレベルまで使用するかなど）。OWASP Top 10 には、 CORS 構成やその他のセキュリティヘッダー、認証と権限の管理、CI/CD パイプラインのデータ整合性など、アプリケーションで対処可能な脅威が含まれます。また、AWS WAF を使用して対処できる脅威も含まれています。

アプリケーションを定期的にペンテストすることで、セキュリティ体制を評価し、改善の余地がある新たな機会を発見できます。自動ペンテストを使用することも、アプリケーションでペンテストを実施できる AWS パートナーと協力することもできます。このようなツールやサービスは AWS Marketplace にあります。

AWS WAF は、脅威モデリング作業で特定されたリスクの一部に対処するのに役立ちます。たとえば、Broken Access Control では、公開リソースを除いてデフォルトでリクエストを拒否することが推奨されます。これは、デフォルトのアクションを Block に設定し、パブリックリソースに対応する URL を明示的に許可することで、AWS WAF で実装できます。

AWS WAF で設定するカスタムルールに加えて、 Amazon マネージドルール (AMR) を使用することをお勧めします。(AMR) は OWASP トップ 10 からヒントを得た一連のルールで、AWS 脅威研究チームが管理しています。これは、すべてのお客様の誤検知率を非常に低く抑えながら、最も一般的で重大度の高い脅威からアプリケーションを保護するように設計されています。AWS 脅威調査チームは、AMR ルールが効果的で最新の状態に保たれていることを確認するために定期的にテストを実施し、お客様と直接連携して AMR を強化しています。AMR には、ベースラインルールグループとユースケース固有のルールグループ (SQL、Linux など) があります。AMRは、OWASP の上位 10 リスクの範囲を拡大するのに役立ちますが、脅威モデリングの実践に代わるものではありません。

また、同じく AWS マーケットプレイスの OWASP トップ 10 に触発されたマネージドルールを検討することもできます。これには、CSC による高セキュリティ OWASP セット、F5 による Web エクスプロイト OWASP ルール、およびフォーティネットによる完全版 OWASP トップ 10 ルールグループが含まれています。

• AWS サミット ANZ 2021-脅威モデリングへのアプローチ方法
• AWS WAF デリバリーパートナーを探す