📗
owasp-asvs-ja
  • OWASP Application Security Verification Standard ja
  • OWASP アプリケーションセキュリティ検証標準 5.0 日本語版
    • 口絵
    • 序文
    • ASVS とは何か?
    • 監査と認証
    • v4.x と比較した変更点
    • V1: エンコーディングとサニタイゼーション
    • V2: バリデーションとビジネスロジック
    • V3: Web フロントエンドセキュリティ
    • V4: API と Web サービス
    • V5: ファイル処理
    • V6: 認証
    • V7: セッション管理
    • V8: 認可
    • V9: 自己完結型トークン
    • V10: OAuth と OIDC
    • V11: 暗号化
    • V12: 安全な通信
    • V13: 構成
    • V14: データ保護
    • V15: セキュアコーディングとアーキテクチャ
    • V16: セキュリティログ記録とエラー処理
    • V17: WebRTC
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 V: 暗号化標準
    • 付録 X: 推奨事項
  • OWASP アプリケーションセキュリティ検証標準 4.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • V1: アーキテクチャ、設計、脅威モデリング
    • V2: 認証
    • V3: セッション管理
    • V4: アクセス制御
    • V5: バリデーション、サニタイゼーション、エンコーディング
    • V6: 保存時における暗号化
    • V7: エラー処理とログ記録
    • V8: データ保護
    • V9: 通信
    • V10: 悪意あるコード
    • V11: ビジネスロジック
    • V12: ファイルとリソース
    • V13: API と Web サービス
    • V14: 構成
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 C: Internet of Things の検証要件
Powered by GitBook
On this page
  • 管理目標
  • セキュリティ検証要件
  • V4.1 一般的なアクセス制御設計
  • V4.2 操作レベルのアクセス制御
  • V4.3 その他のアクセス制御に関する考慮事項
  • 参考情報

Was this helpful?

  1. OWASP アプリケーションセキュリティ検証標準 4.0 日本語版

V4: アクセス制御

管理目標

認可とはリソースの使用を許可された人にのみアクセスを許可するという概念です。検証対象のアプリケーションが以下の上位要件を満たすことを確認します。

  • リソースにアクセスする人はそうするために有効なクレデンシャルを保持しています。

  • ユーザは明確に定義された役割と権限のセットに関連付けられています。

  • 役割と権限のメタデータはリプレイや改竄から保護されています。

セキュリティ検証要件

V4.1 一般的なアクセス制御設計

#
説明
L1
L2
L3
CWE

4.1.1

特にクライアント側のアクセス制御が存在し、それが回避される可能性がある場合には、アプリケーションは信頼できるサービス層に対してアクセス制御規則を適用する。

✓

✓

✓

602

4.1.2

アクセス制御で使用されるすべてのユーザ属性とデータ属性およびポリシー情報は、特に認可されていない限りエンドユーザが操作できない。

✓

✓

✓

639

4.1.3

✓

✓

✓

285

4.1.4

[削除, 4.1.3 と重複]

4.1.5

✓

✓

✓

285

V4.2 操作レベルのアクセス制御

#
説明
L1
L2
L3
CWE

4.2.1

機密データおよび API が、他人のレコードの作成や更新、全員のレコードの閲覧、すべてのレコードの削除など、レコードの作成、読み取り、更新、削除を目的とする非セキュア直接オブジェクト参照 (Insecure Direct Object Reference, IDOR) 攻撃に対して保護されている。

✓

✓

✓

639

4.2.2

認証済みの機能を保護するために、アプリケーションやフレームワークが強力な CSRF 対策メカニズムを実施している。また、有効な自動化対策や CSRF 対策が未認証機能の保護を実施している。

✓

✓

✓

352

V4.3 その他のアクセス制御に関する考慮事項

#
説明
L1
L2
L3
CWE

4.3.1

管理インタフェースは不正使用を防ぐために適切な多要素認証を使用している。

✓

✓

✓

419

4.3.2

明確に必要でない限りディレクトリ参照が無効化されている。さらに、アプリケーションは Thumbs.db, .DS_Store, .git, .svn などのファイルやディレクトリメタデータの漏洩や開示を許すべきではありません。

✓

✓

✓

548

4.3.3

アプリケーションには低価値システムに対する追加の認証 (ステップアップ認証や適応認証) がある、また、アプリケーションのリスクと過去の不正行為により不正対策制御を実施するために、高価値アプリケーションに対する役割の分離がある。

✓

✓

732

参考情報

詳しくは以下の情報を参照してください。

PreviousV3: セッション管理NextV5: バリデーション、サニタイゼーション、エンコーディング

Last updated 4 months ago

Was this helpful?

最小特権の原則が存在する。ユーザは特定の権限を持つ機能、データファイル、URL、コントローラ、サービス、およびその他のリソースにのみアクセスできるようにすべきである。これはなりすましや権限昇格に対する保護を意味する。 ()

例外が発生した場合も含めて、アクセス制御がセキュアに失敗する。 ()

OWASP Testing Guide 4.0: Authorization
OWASP Cheat Sheet: Access Control
OWASP CSRF Cheat Sheet
OWASP REST Cheat Sheet
C7
C10