📗
owasp-asvs-ja
  • OWASP Application Security Verification Standard ja
  • OWASP アプリケーションセキュリティ検証標準 5.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • バージョン 4.0 ユーザ向けのガイダンス
    • V2: 認証
    • V3: セッション管理
    • V4: 認可
    • V5: エンコーディングとサニタイゼーション
    • V6: 暗号化
    • V7: セキュリティログ記録とエラー処理
    • V8: データ保護
    • V9: 安全な通信
    • V10: セキュアコーディングアーキテクチャと実装
    • V11: ビジネスロジック
    • V12: ファイル処理
    • V13: API と Web サービス
    • V14: 構成
    • V50: Web フロントエンドセキュリティ
    • V51: OAuth と OIDC
    • V52: 自己完結型トークン
    • V53: WebRTC
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 V: 暗号化
    • 付録 X: 推奨事項
  • OWASP アプリケーションセキュリティ検証標準 4.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • V1: アーキテクチャ、設計、脅威モデリング
    • V2: 認証
    • V3: セッション管理
    • V4: アクセス制御
    • V5: バリデーション、サニタイゼーション、エンコーディング
    • V6: 保存時における暗号化
    • V7: エラー処理とログ記録
    • V8: データ保護
    • V9: 通信
    • V10: 悪意あるコード
    • V11: ビジネスロジック
    • V12: ファイルとリソース
    • V13: API と Web サービス
    • V14: 構成
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 C: Internet of Things の検証要件
Powered by GitBook
On this page

Was this helpful?

  1. OWASP アプリケーションセキュリティ検証標準 5.0 日本語版

付録 A: 用語集

  • 絶対最大セッション有効期間 (Absolute Maximum Session Lifetime) - NIST では「全体タイムアウト (Overall Timeout)」とも呼ばれ、ユーザ操作に関係なく、認証後にセッションがアクティブなままでいられる最大時間です。これはセッション有効期限の構成要素です。

  • アドレス空間配置のランダム化 (Address Space Layout Randomization, ASLR) - メモリ破壊バグの悪用をより困難にする手法です。

  • 許可リスト (Allowlist) - 許可されたデータまたは操作のリストです。例えば、入力の検証を実行できる文字のリストです。

  • フォージェリ防止トークン (Anti-forgery token) - 一つ以上のトークンがリクエストに渡され、アプリケーションサーバによって検証され、リクエストが期待したエンドポイントから来たものであることを確認するメカニズムです。

  • アプリケーションセキュリティ (Application Security) - アプリケーションレベルのセキュリティは基礎となるオペレーティングシステムや接続されるネットワークにフォーカスするのではなく、開放型システム間相互接続参照モデル (OSIモデル) のアプリケーション層を構成するコンポーネントの分析にフォーカスします。

  • アプリケーションセキュリティ検証 (Application Security Verification) - OWASP ASVS に対するアプリケーションの技術的評価です。

  • アプリケーションセキュリティ検証報告書 (Application Security Verification Report) - 対象とするアプリケーションの検証者が作成した全体的な結果と分析をまとめた報告書です。

  • 認証 (Authentication) - アプリケーションユーザの申請IDを検証します。

  • 自動検証 (Automated Verification) - 脆弱性シグネチャを使用して問題を発見する自動ツール (動的分析ツール、静的解析ツール、のいずれかもしくはその両方) を使用する検証です。

  • ブラックボックステスト (Black Box Testing) - アプリケーションの機能を内部構造や動作に頼らすに検査するソフトウェアテストの手法です。

  • コンポーネント (Component) - 自己完結型のコード単位です。他のコンポーネントと通信するディスクやネットワークに関連するインタフェースを持ちます。

  • クレデンシャルサービスプロバイダ (Credential Service Provider, CSP) - アイデンティティプロバイダ (Identity Provider, IdP) とも呼ばれます。他のアプリケーションで認証ソースとして使用される可能性のあるユーザデータのソースです。

  • クロスサイトスクリプティング (Cross-Site Scripting, XSS) - クライアント側のスクリプトをコンテンツに流入することを可能にする、Web アプリケーションで典型的に見られるセキュリティ脆弱性です。

  • 暗号モジュール (Cryptographic Module) - 暗号アルゴリズムを実装し、暗号鍵を生成するハードウェア、ソフトウェア、ファームウェアです。

  • 共通脆弱性タイプ一覧 (Common Weakness Enumeration, CWE) - コミュニティにより開発された一般的なソフトウェアセキュリティ脆弱性のリストです。これは共通言語、ソフトウェアセキュリティツールのものさし、および脆弱性識別、緩和、予防のためのベースラインとして機能します。

  • 設計検証 (Design Verification) - アプリケーションのセキュリティアーキテクチャの技術的評価です。

  • 動的アプリケーションセキュリティテスト (Dynamic Application Security Testing, DAST) - 実行状態のアプリケーションのセキュリティ脆弱性を示す条件を検出するように設計されたテスト技法です。

  • 動的検証 (Dynamic Verification) - 脆弱性シグネチャを使用してアプリケーションの実行中に問題を発見する自動ツールを使用する検証です。

  • ファイド (Fast IDentity Online, FIDO) - バイオメトリクス、トラステッドプラットフォームモジュール (Trusted Platform Module, TPM) 、USB セキュリティトークンなど、さまざまな認証方式を使用できるようにする一連の認証標準です。

  • ユニバーサル一意識別子 (Universally Unique Identifier, UUID) - ソフトウェアで識別子として使用される一意の参照番号です。

  • ハイパーテキスト転送プロトコル (HyperText Transfer Protocol, HTTP) - 分散、協調、ハイパーメディア情報システムのためのアプリケーションプロトコルです。World Wide Web のためのデータ通信の基盤です。

  • ハードコードされた鍵 (Hardcoded Keys) - コード、コメント、ファイルなどファイルシステムに格納されている暗号鍵です。

  • ハードウェアセキュリティモジュール (Hardware Security Module, HSM) - 暗号鍵とその他のシークレットを保護された方法で保存するハードウェアコンポーネントです。

  • Hibernate クエリ言語 (Hibernate Query Language, HQL) - Hibernate ORM ライブラリで使用される SQL と似た外観のクエリ言語です。

  • HTTP Strict Transport Security (HSTS) - 有効な証明書が提示された場合にのみ、TLS 経由でヘッダを返すドメインに接続するようにブラウザに指示するポリシーです。これは Strict-Transport-Security レスポンスヘッダフィールドを使用してアクティブ化します。

  • アイデンティティプロバイダ (Identity Provider, IdP) - NIST リファレンスではクレデンシャルサービスプロバイダ (CSP) とも呼ばれます。他のアプリケーションに認証ソースを提供するエンティティです。

  • 非アクティブタイムアウト (Inactivity Timeout) - これはユーザがアプリケーションを操作していないときにセッションがアクティブなままでいられる時間の長さです。これはセッション有効期限の構成要素です。

  • 入力バリデーション (Input Validation) - 信頼できないユーザ入力の正規化およびバリデーションです。

  • JSON Web トークン (JSON Web Token, JWT) - RFC 7519 は JSON データオブジェクトの標準を定義しており、オブジェクトの検証方法を説明するヘッダセクション、クレームのセットを含むボディセクション、ボディセクションのコンテンツを検証するために使用できるデジタル署名を含む署名セクションで構成されます。これは自己完結型トークンの一種です。

  • 悪性コード (Malicious Code) - 開発中にアプリケーションに導入された、アプリケーションの意図されたセキュリティポリシーを迂回する、アプリケーションの所有者に知られていないコードです。ウイルスやワームなどのマルウェアと同じではありません。

  • マルウェア (Malware) - アプリケーションユーザや管理者に知られることなく実行時にアプリケーションに導入される実行可能コードです。

  • 多要素認証 (Multi-factor authentication, MFA) - 二つ以上の単要素を含む認証です。

  • オープンワールドワイドアプリケーションセキュリティプロジェクト (Open Worldwide Application Security Project, OWASP) - アプリケーションソフトウェアのセキュリティを強化することにフォーカスする世界規模のフリーでオープンなコミュニティーです。私たちの使命はアプリケーションのセキュリティを「可視化」することで、人々や組織がアプリケーションのセキュリティリスクについて意思決定を下せるようにすることです。参照:http://www.owasp.org/

  • ワンタイムパスワード (One-time Password, OTP) - 一度だけ使用するために一意に生成されるパスワードです。

  • オブジェクトリレーショナルマッピング (Object-relational Mapping, ORM) - アプリケーション互換オブジェクトモデルを使用して、アプリケーションプログラム内でリレーショナル/テーブルベースのデータベースを参照および照会できるようにするために使用されるシステムです。

  • パスワードベース鍵導出関数2 (Password-Based Key Derivation Function 2, PBKDF2) - 入力テキスト (パスワードなど) および追加のランダムソルト値から強力な暗号鍵を作成するために使用される特殊な一方向アルゴリズムです。元のパスワードの代わりに結果の値が保存されている場合には、パスワードをオフラインで解読することが困難になります。

  • 個人を識別できる情報 (Personally Identifiable Information, PII) - 一人の人間を識別、接触、探索するため、あるいはコンテキストの個人を特定するために、それ自身または他の情報と共に使用することができる情報です。

  • 位置独立実行形式 (Position-independent executable, PIE) - 一次メモリのどこかに配置され、絶対アドレスに関係なく適切に実行される、マシンコードの本体です。

  • 公開鍵基盤 (Public Key Infrastructure, PKI) - 公開鍵をエンティティのそれぞれのアイデンティティにバインドする仕組みです。バインディングは認証局 (Certificate Authority, CA) における証明書の登録および発行のプロセスによって確立されます。

  • 公衆交換電話網 (Public Switched Telephone Network, PSTN) - 固定電話と携帯電話の両方を含む従来の電話網です。

  • リファレンストークン (Reference Token) - サーバに保存されている状態またはメタデータへのポインタまたは識別子として機能するトークンの一種であり、ランダムトークンや不透明トークンと呼ばれることもあります。トークン自体に関連データの一部を埋め込む自己完結型トークンとは異なり、リファレンストークンは固有の情報を含まず、代わりにコンテキストについてはサーバに依存します。

  • 依拠当事者 (Relying Party, RP) - 一般的には別の認証プロバイダに対して認証されたユーザに依存するアプリケーションです。アプリケーションは認証プロバイダが提供するある種のトークンまたは一連の署名済みアサーションに依存して、ユーザが本人であることを信頼します。

  • セキュリティアサーションマークアップ言語 (Security Assertion Markup Language, SAML) - ID プロバイダと依拠当事者の間で署名されたアサーション (通常は XML オブジェクト) を渡すことによって実現されるシングルサインオン認証のオープンスタンダードです。

  • 静的アプリケーションセキュリティテスト (Static Application Security Testing, SAST) - コーディングや設計条件のセキュリティ上の脆弱性を示すため、アプリケーションコード、バイトコード、バイナリを解析するように設計された一連の技法です。SASTソリューションはアプリケーションを非稼動状態で「内側から」分析します。

  • ソフトウェア開発ライフサイクル (Software Development Lifecycle, SDLC) - 初期要件からデプロイメントおよび保守に至るまでのソフトウェア開発における段階的なプロセスです。

  • セキュリティアーキテクチャ (Security Architecture) - アプリケーション設計の抽象概念です。セキュリティ管理策がどこでどのように使用されているかを特定し説明します。また、ユーザとアプリケーションの両方のデータの場所と機密性を特定し説明します。

  • セキュリティ設定 (Security Configuration) - セキュリティ管理の使用方法に影響を与えるアプリケーションの実行時設定です。

  • セキュリティ管理 (Security Control) - (認可チェックなどの) セキュリティチェックを実行する、もしくは (監査記録の生成などの) 呼び出されたときにセキュリティ効果をもたらす、機能やコンポーネントです。

  • 自己完結型トークン (Self-Contained Token) - サーバサイドの状態やその他の外部ストレージに依存しない一つ以上の属性をカプセル化するトークンです。これらのトークンは含まれる属性の真正性と完全性を確保し、システム間で安全な「ステートレス」な情報交換を可能にします。自己完結型トークンは一般的にデジタル署名やメッセージ認証コード (MAC) などの暗号技法を使用して保護され、データの真正性、完全性、場合によっては機密性を確保します。一般的な例としては SAML アサーションや JWT があります。

  • サーバサイドリクエストフォージェリ (Server-side Request Forgery, SSRF) - サーバの機能を悪用して内部リソースを読み取りまたは更新する攻撃です。攻撃者はサーバで実行されるコードがデータを読み取りまたは送信する URL を提供または変更します。

  • 単要素認証子 (Single-factor authenticator) - ユーザが認証されることをチェックするメカニズムです。知識認証 (something you know) (記憶された秘密、パスワード、パスフレーズ、PIN)、生体認証 (something you are) (生体情報、指紋、顔スキャン)、または所有物認証 (something you have) (OTP トークン、スマートカードなどの暗号化デバイス) のいずれかである必要があります。

  • シングルサインオン認証 (Single Sign-on Authentication, SSO) - ユーザがひとつのアプリケーションにログインするとき、他のアプリケーションに再認証の必要なく自動的にログインするものです。例えば、Google にログインすると、YouTube, Google Docs, Gmail などの他の Google サービスに自動的にログインします。

  • ソフトウェア構成解析 (Software Composition Analysis, SCA) - 使用している特定バージョンのコンポーネントのセキュリティ脆弱性について、アプリケーションの構成、依存関係、ライブラリ、パッケージを解析するように設計された一連のテクノロジです。これは、現在一般的に SAST と呼ばれているソースコード解析と混同しないでください。

  • SQL インジェクション (SQL Injection, SQLi) - 悪意のあるSQL文がエントリポイントに挿入される、データ駆動型アプリケーションの攻撃に使用されるコードインジェクション手法です。

  • ステートフルセッションメカニズム (Stateful Session Mechanism) - ステートフルセッションメカニズムでは、アプリケーションはバックエンドでセッション状態を保持し、一般的に、ユーザに発行されるランダムセッション識別子に対応します。

  • ステートレスセッションメカニズム (Stateless Session Mechanism) - ステートレスセッションメカニズムはクライアントに渡される自己完結型トークンを使用します。このトークンには、トークンを受け取って検証するサービス内には必ずしも保存されるわけではないセッション情報を含みます。実際には、必要なセキュリティコントロールを実施できるようにするために、サービスは一部のセッション情報 (JWT 失効リストなど) にアクセスする必要があります。

  • スケーラブルベクターグラフィックス (Scalable Vector Graphics, SVG) - 。

  • タイムベース OTP (Time-based OTP) - OTP を生成する手法で、現在の時刻がパスワードを生成するアルゴリズムの一部として機能します。

  • 脅威モデリング (Threat Modeling) - 脅威エージェント、セキュリティゾーン、セキュリティ管理、重要な技術的およびビジネス的資産を特定することにより、より洗練されたセキュリティアーキテクチャを開発することからなる手法です。

  • トランスポート層セキュリティ (Transport Layer Security, TLS) - ネットワーク上の通信セキュリティを提供する暗号プロトコルです。

  • トラステッドプラットフォームモジュール (Trusted Platform Module, TPM) - 通常はマザーボードなどのより大きなハードウェアコンポーネントに接続され、そのシステムの「信頼の基点 (Root of Trust)」として機能する HSM の一種です。

  • 信頼できるサービス層 (Trusted Service Layer) - マイクロサービス、サーバレス API、サーバサイド、セキュアブートを備えたクライアントデバイス上の信頼できる API、パートナー API や外部 API など、信頼できるコントロール適用ポイントです。信頼できるとは、信頼できないユーザがその層や、その層で実装されたコントロールをバイパスやスキップできるという懸念がないことを意味します。

  • ユニバーサルセカンドファクタ (Universal 2nd Factor, U2F) - USB または NFC セキュリティキーを二番目の認証要素として使用できるようにするために FIDO により作成された標準の一つです。

  • URI/URL/URL フラグメント (URI/URL/URL fragments) - Uniform Resource Identifier は名前や Web リソースを識別するために使用される文字列です。Uniform Resource Locator は多くの場合リソースへの参照として使用されます。

  • 検証者 (Verifier) - OWASP ASVS 要件に照らし合わせてアプリケーションをレビューしている人またはチームです。

  • 見たままが得られる (ウィジウィグ) (What You See Is What You Get, WYSIWYG) - レンダリングを制御するために使用されるコーディングを表示するのではなく、レンダリング時にコンテンツが実際にどのように見えるかを示すリッチコンテンツエディタのタイプです。

  • X.509 証明書 (X.509 Certificate) - 広く受け入れられている国際 X.509 公開鍵基盤 (Public Key Infrastructure, PKI) 標準を使用するデジタル証明書であり、公開鍵が証明書に含まれるユーザ、コンピュータ、サービスのIDに属することを検証します。

  • XML 外部エンティティ (XML eXternal Entity, XXE) - 宣言されたシステム識別子を介してローカルまたはリモートコンテンツにアクセスできる XML エンティティのタイプです。これはさまざまなインジェクション攻撃につながる可能性があります。

PreviousV53: WebRTCNext付録 B: 参考情報

Last updated 16 hours ago

Was this helpful?