トップ > OWASPにおける「レベル」とは?セキュリティ評価と成熟度の指標

OWASPにおける「レベル」とは?セキュリティ評価と成熟度の指標

プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

はじめに:アプリケーションセキュリティの標準化

アプリケーションセキュリティの世界では、Open Worldwide Application Security Project (OWASP) が提供する様々なプロジェクトやガイドラインが、世界中の開発者やセキュリティ専門家にとって不可欠なリソースとなっています。私は情報セキュリティの専門家として、OWASPのガイドラインを日々参照し、実践に役立てています。

OWASPの多くのプロジェクトでは、アプリケーションのセキュリティ強度や組織のセキュリティ成熟度を示すために「レベル」という概念が用いられています。この「レベル」は、単なる階層を示すだけでなく、達成すべき目標や評価の厳格さを示す重要な指標となります。

1. OWASPにおける「レベル」の多様な意味合い

OWASPのプロジェクトにおいて「レベル」という言葉が使われる場合、その文脈によって意味合いが異なります。主に以下の2つの主要な文脈で登場します。

  1. セキュリティ検証の厳格さ(例:ASVS, MASVS)
  2. セキュリティ成熟度(例:SAMM)

これらの「レベル」は、組織が自身のアプリケーションセキュリティ態勢を評価し、改善するための具体的な道筋を示してくれます。

2. セキュリティ検証の厳格さを示す「レベル」

OWASPのプロジェクトの中でも、特にアプリケーションのセキュリティ検証基準を定めるものには、「レベル」が導入されています。これは、アプリケーションがどの程度のセキュリティ要件を満たしているか、またはどの程度の厳格さでテストされるべきかを示します。

2.1. OWASP Application Security Verification Standard (ASVS)

OWASP ASVSは、Webアプリケーションのセキュリティ技術的制御をテストするための基準であり、開発者向けにセキュアな開発要件のリストも提供しています。ASVSには、アプリケーションの重要度や扱うデータの機密性に応じて、以下の3つの検証レベルが定義されています。

  • ASVS レベル 1:基本的なセキュリティ (Level 1: Basic)

    • 目的: 低いアシュアランスレベル(信頼度)のアプリケーション向け。基本的な脆弱性が存在しないことを確認する。
    • 検証方法: 主に自動スキャンツールや基本的な手動ペネトレーションテストによって検証可能。OWASP Top 10の基本的な脆弱性に対応する。
    • 対象: 全てのWebアプリケーションが最低限満たすべきベースライン。
    • 特徴: 明らかな脆弱性がないことを証明する、最低限のセキュリティ衛生を保証するレベル。

  • ASVS レベル 2:標準的なセキュリティ (Level 2: Standard)

    • 目的: 機密データを扱うアプリケーション、またはビジネスロジックが複雑なアプリケーション向け。より深いセキュリティ対策が講じられていることを確認する。
    • 検証方法: 専門家による包括的なペネトレーションテストに加え、コードレビュー、設計レビューなど、複数の情報源からの検証が必要。
    • 対象: ほとんどのWebアプリケーションに推奨されるレベル。
    • 特徴: 攻撃に対して十分な防御機能が備わっていることを証明するレベル。

  • ASVS レベル 3:高度なセキュリティ (Level 3: Advanced)

    • 目的: 最も機密性の高いデータ(例:医療情報、金融取引)を扱うアプリケーション、または極めて重要なインフラストラクチャを構成するアプリケーション向け。最高レベルのアシュアランスを保証する。
    • 検証方法: レベル2の要件に加えて、セキュリティアーキテクチャレビュー、徹底的なコードレビュー、複雑な攻撃シナリオに対するテストなど、非常に厳格で広範な検証が必要。
    • 対象: 金融、政府機関、医療など、非常に高いセキュリティが求められるミッションクリティカルなアプリケーション。
    • 特徴: 高度な攻撃者からのプロアクティブな保護と、徹底的な検証によって最高レベルの信頼性を証明するレベル。

ASVS については、具体的に業務で利用できるようにチェックリストを以下の記事で紹介しています。

2.2. OWASP Mobile Application Security Verification Standard (MASVS)

OWASP MASVSは、モバイルアプリケーションのセキュリティ要件を定義する標準です。ASVSと同様に、モバイルアプリのセキュリティレベルを評価するための3つのレベル(またはプロファイル)を提供します。

  • MASVS-L1:標準的なセキュリティ (Standard Security)

    • 基本的なセキュリティリスクからの保護を目的とする。
    • モバイルアプリが満たすべき最低限のセキュリティ要件。

  • MASVS-L2:多層防御 (Defense-in-Depth)

    • L1よりも高度なセキュリティ対策が求められるアプリ向け。
    • 機密データを扱うアプリや、特定の脅威モデルに対する追加の防御が必要な場合。

  • MASVS-R:耐改ざん性・リバースエンジニアリング耐性 (Resilience against Reverse Engineering and Tampering)

    • L1/L2に加えて、リバースエンジニアリングや改ざんからの高度な保護が必要なアプリ向け。
    • 知的財産保護、チート対策(ゲームアプリなど)、不正防止などが目的。

3. セキュリティ成熟度を示す「レベル」

OWASPは、組織のソフトウェアセキュリティ開発プロセスがどの程度成熟しているかを評価するためのフレームワークも提供しており、ここでも「レベル」が使用されます。

3.1. OWASP Software Assurance Maturity Model (SAMM)

OWASP SAMMは、組織がソフトウェアセキュリティ戦略を策定し、実装し、改善するためのフレームワークです。SAMMは、ソフトウェア開発ライフサイクル(SDLC)全体にわたるセキュリティプラクティスを評価し、以下の4つの成熟度レベル(Maturity Level)で表現します。

  • レベル 0:活動なし (Inactive)
    • 該当するセキュリティプラクティスについて、何も活動が行われていない状態、または最小限の活動しか行われていない状態。
  • レベル 1:初期段階 (Initial)
    • セキュリティプラクティスについて、初期的な理解があり、アドホック(場当たり的)な対応が行われている状態。体系的なプロセスは未確立。
  • レベル 2:定義済み (Defined)
    • セキュリティプラクティスについて、明確な定義と文書化されたプロセスが存在し、組織全体で認識され、実施されている状態。効率性と有効性を高める努力がなされている。
  • レベル 3:熟練(継続的改善) (Mastery)
    • セキュリティプラクティスが組織に完全に統合され、定量的に測定・管理され、継続的に改善されている状態。最適化されたアプローチが確立されている。

SAMMは、組織が自身のセキュリティ成熟度を測定し、リスクとビジネス目標に合わせて次の成熟度レベルへ移行するためのロードマップを提供するものです。すべてのビジネス機能やプラクティスにおいてレベル3を目指す必要はなく、組織のニーズに応じた目標レベルを設定することが推奨されます。

4. まとめ:なぜOWASPの「レベル」が重要なのか

OWASPの様々な「レベル」は、組織がアプリケーションセキュリティを体系的に管理し、改善していく上で極めて重要な役割を果たします。

  • 目標設定: アプリケーションや組織の特性に応じて、達成すべきセキュリティの目標レベルを明確にできます。
  • 現状把握: 現在のセキュリティ態勢がどのレベルにあるかを客観的に評価できます。
  • ロードマップ作成: 次のレベルに到達するために、具体的に何をすべきかの指針を得られます。
  • コミュニケーション: セキュリティ要件や進捗について、開発者、ビジネスオーナー、経営層といった関係者間で共通の理解を促進します。
  • 信頼性向上: 外部パートナーや顧客に対し、セキュリティへの取り組みを客観的な指標で示すことができます。

私は、OWASPの「レベル」を単なるチェックリストとしてではなく、組織のセキュリティ文化と継続的改善のサイクルを育むための強力なツールとして活用することを推奨しています。