範囲と定義

範囲

その目的はウェブアプリケーションに対する現実世界での自動化された脅威を、アプリケーションオーナーが関連付けできる抽象的なレベルで説明する、ベンダー中立で技術にとらわれない用語のリストを作成することでした。これらの用語は自動化されたアクションを使用して実行されるウェブアプリケーションに対する脅威イベントです。

焦点は機能の不正使用、つまり本来の機能の不正使用とそれに関連する設計上の欠陥で、その一部はビジネスロジックの欠陥とも呼ばれます。実装上のバグについてはほとんど焦点を当てていません。後者が攻撃の対象にならないわけではありませんが、この分野についてはより多くの知識が公表されており、用語についてもより多くの合意が得られています。特定されたすべてのシナリオは脅威を具体化するためにウェブが存在することを必要とします。シナリオの多くはウェブアプリケーションを所有または運用する組織に影響を与えますが、いくつかのシナリオでは個人やその他の団体により焦点を当てた影響を与えます。ウェブを介さずに実現できる攻撃は範囲外です。

定義

ウェブアプリケーションに対する自動化された脅威

自動化されたアクションを使用して実行されるウェブアプリケーションに対する脅威イベントです。

ウェブを介さずに実現できる攻撃は範囲外です。

用語集

アクション

脅威エージェントによって資産に対して行われる行為です。最初に資産と脅威エージェントが接触することを要求します (参考情報 1)

アプリケーション

システムソフトウェアではなく、ビジネスプロセスを実行するソフトウェアです

情報システムによってホストされるソフトウェアプログラムです (参考情報 2)

アプリケーション層

OSI モデルの「第 7 層」(参考情報 3) および TCP/IP モデルの「アプリケーション層」(参考情報 4) です

脅威

資産や組織に損害を与えるような行為をする可能性のあるものです; たとえば、天災 (天候、地変など); 悪意のあるアクター; エラー; 故障 (参考情報 1)

脅威エージェント

資産に対して損害をもたらすような行為をする可能性があるエージェント (物体、物質、人間など) です (参考情報 1)

脅威イベント

脅威エージェントが資産に対して行為をする際に発生します (参考情報 1)

ウェブ

World Wide Web (WWW, あるいは単に Web) はリソースと呼ばれる関心のある項目が統一資源識別子 (Uniform Resource Identifier, URI) と呼ばれるグローバル識別子によって識別される情報空間です (参考情報 5)

Web テクノロジーの最初の三つの仕様では URL, HTTP, HTML を定義しています (参考情報 6)

ウェブアプリケーション

ウェブ上で配信されるアプリケーションです

用語集の参考情報:

1. Risk Taxonomy, Technical Standard, The Open Group, 2009

2. NISTIR 7298 rev 2, NIST

3. OSI model, Wikipedia

4. TCP/IP model, Wikipedia

5. Architecture of the World Wide Web, Volume One, W3C

6. Help and FAQ, W3C