📗
owasp-asvs-ja
  • OWASP Application Security Verification Standard ja
  • OWASP アプリケーションセキュリティ検証標準 5.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • バージョン 4.0 ユーザ向けのガイダンス
    • V1: エンコーディングとサニタイゼーション
    • V2: ビジネスロジック
    • V3: Web フロントエンドセキュリティ
    • V4: API と Web サービス
    • V5: ファイル処理
    • V6: 認証
    • V7: セッション管理
    • V8: 認可
    • V9: 自己完結型トークン
    • V10: OAuth と OIDC
    • V11: 暗号化
    • V12: 安全な通信
    • V13: 構成
    • V14: データ保護
    • V15: セキュアコーディングアーキテクチャと実装
    • V16: セキュリティログ記録とエラー処理
    • V17: WebRTC
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 V: 暗号化
    • 付録 X: 推奨事項
  • OWASP アプリケーションセキュリティ検証標準 4.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • V1: アーキテクチャ、設計、脅威モデリング
    • V2: 認証
    • V3: セッション管理
    • V4: アクセス制御
    • V5: バリデーション、サニタイゼーション、エンコーディング
    • V6: 保存時における暗号化
    • V7: エラー処理とログ記録
    • V8: データ保護
    • V9: 通信
    • V10: 悪意あるコード
    • V11: ビジネスロジック
    • V12: ファイルとリソース
    • V13: API と Web サービス
    • V14: 構成
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 C: Internet of Things の検証要件
Powered by GitBook
On this page
  • 管理目標
  • V8.1 認可ドキュメント
  • V8.2 一般的な認可設計
  • V8.3 操作レベルの認可
  • V8.4 他の認可の考慮
  • 参考情報

Was this helpful?

  1. OWASP アプリケーションセキュリティ検証標準 5.0 日本語版

V8: 認可

管理目標

認可は、許可されたコンシューマ (ユーザ、サーバ、その他のクライアント) にのみアクセスを付与することを確保します。最小権限の原則 (POLP) を適用するために、検証対象のアプリケーションが以下の上位要件を満たさなければなりません。

  • 意思決定要因や環境コンテキストを含む認可ルールを文書化している。

  • コンシューマは定義された権限によって許可されたリソースにのみアクセスできる必要がある。

V8.1 認可ドキュメント

包括的な認可ドキュメントは、セキュリティ上の決定が一貫して適用され、監査可能であり、組織のポリシーに準拠していることを確保するために不可欠であり、開発者、管理者、テスト担当者にとってセキュリティ要件が明確で実行可能であることで、認可されていないアクセスのリスクを軽減します。

#
説明
レベル
#v5.0.be

1.4.7

[追加] 認可ドキュメントは、コンシューマのパーミッションとリソース属性に基づいて、機能レベルとデータ固有のアクセスを制限するためのルールを定義している。

1

v5.0.be-1.4.7

1.4.8

[追加] 認可ドキュメントは、コンシューマのパーミッションとリソース属性に基づいて、フィールドレベルのアクセスを制限するためのルールを定義している。

2

v5.0.be-1.4.8

1.4.6

[追加] 認可ドキュメントは、認証と認可に関連するものも含め、セキュリティ上の決定をするために、コンシューマの環境属性とコンテキスト属性 (時間帯、位置情報、IP アドレス、デバイスなど) の変更を組み込むコントロールを定義している。これらの変更は、コンシューマが新しいセッションを開始しようとするとき、または既存のセッション中の両方で検出される必要がある。

3

v5.0.be-1.4.6

1.4.9

[追加] 認可ドキュメントは、機能レベル、データ固有、フィールドレベルの認可に加えて、意思決定における環境要因とコンテキスト要因を考慮している。

3

v5.0.be-1.4.9

V8.2 一般的な認可設計

機能、データ、フィールドレベルできめ細かい認可を導入することで、コンシューマは明示的に許可されたものだけにアクセスできるようになります。

#
説明
レベル
#v5.0.be

4.1.3

[修正, 4.1.2 をカバー] アプリケーションは機能レベルのアクセスが明示的なパーミッションを持つコンシューマに制限されることを確保している。

1

v5.0.be-4.1.3

4.1.6

[修正, 4.2.1 から移動, 13.1.4 をカバー] アプリケーションは、安全でない直接オブジェクト参照 (IDOR) と壊れたオブジェクトレベル認可 (BOLA) を軽減するために、データ固有のアクセスが特定のデータ項目に対する明示的なパーミッションを持つコンシューマに制限されることを確保している。

1

v5.0.be-4.1.6

4.1.7

[追加] アプリケーションは、壊れたオブジェクトプロパティレベル認可 (BOPLA) を軽減するために、フィールドレベルのアクセスが特定のフィールドに対する明示的なパーミッションを持つコンシューマに制限されることを確保している。

2

v5.0.be-4.1.7

4.1.8

[追加] コンシューマの環境属性とコンテキスト属性 (時間帯、位置情報、IP アドレス、デバイスなど) に基づく認証と認可の決定に関する適用型セキュリティコントロールは、認可ドキュメントに定義されているとおりに実装されている。

3

v5.0.be-4.1.8

V8.3 操作レベルの認可

特に動的な環境では、認可されていないアクションを防ぐために、アプリケーションのアーキテクチャの適切な層で認可の変更を即座に適用することが重要です。

#
説明
レベル
#v5.0.be

4.2.3

[修正, 4.1.1 から移動, 1.4.1, 14.5.2 をカバー] アプリケーションは信頼できるサービス層で認可ルールを適用し、クライアントサイド JavaScript など、信頼できないコンシューマが操作できるコントロールに依存していない。

1

v5.0.be-4.2.3

4.2.4

[追加] 認可の決定が行われた値の変更は即座に適用されている。変更を即座に適用できない場合 (自己完結型トークンのデータに依存している場合など)、コンシューマがもはや実行できないはずのアクションを実行したときに警告を発し、その変更を元に戻すための緩和コントロールが必要である。これによって情報漏洩を緩和できないことに注意する。

3

v5.0.be-4.2.4

4.2.5

[追加] オブジェクトへのアクセスは、発信主体 (コンシューマなど) のパーミッションに基づいており、代理で動作する仲介者やサービスのパーミッションではない。たとえば、コンシューマが認証のために自己完結型トークンを使用して Web サービスを呼び出し、それからそのサービスが別のサービスにデータをリクエストする場合、二番目のサービスは、最初のサービスからのマシン間トークンではなく、コンシューマのトークンを使用してパーミッションを決定すべきである。

3

v5.0.be-4.2.5

V8.4 他の認可の考慮

特に管理インタフェースやマルチテナント環境では、認可をさらに考慮することで、認可されていないアクセスの防止に役立ちます。

#
説明
レベル
#v5.0.be

4.3.4

[追加] マルチテナントアプリケーションはクロステナントコントロールを使用して、コンシューマ操作が、インタラクションするパーミッションを持たないテナントに決して影響を与えないようにしている。

2

v5.0.be-4.3.4

4.3.1

[修正, レベル L1 > L3] 管理インタフェースへのアクセスは、継続的なコンシューマアイデンティティ検証、デバイスセキュリティ態勢評価、コンテキストリスク分析など、複数レイヤのセキュリティを組み込んでおり、ネットワークの場所や信頼できるエンドポイントが、認可されていないアクセスの可能性を減らすことはあるものの、認可の唯一の要素にはならないようにしている。

3

v5.0.be-4.3.1

参考情報

詳しくは以下の情報を参照してください。

PreviousV7: セッション管理NextV9: 自己完結型トークン

Last updated 9 hours ago

Was this helpful?

OWASP Testing Guide 4.0: Authorization
OWASP Cheat Sheet: Access Control