OWASP データセキュリティ Top 10 詳細
Last updated
Last updated
CWE-89: SQL Injection
CWE-77: Command Injection
CWE-78: OS Command Injection
CWE-79: Cross-Site Scripting (XSS)
CWE-116: Improper Encoding or Escaping of Output
パラメータ化クエリやプリペアドステートメントを使用して、SQL インジェクションを防ぎます。
入力バリデーションを実装し、ユーザー入力をサニタイズして、悪意のあるコードインジェクションをブロックします。
ウェブアプリケーションファイアウォール (WAF) を採用して、インジェクション攻撃を検出してブロックします。
CWE-287: Improper Authentication
CWE-285: Improper Authorization
CWE-798: Use of Hard-coded Credentials
パスワードの複雑さ要件や定期的なパスワード更新など、強力なパスワードポリシーを適用します。
多要素認証 (MFA) を実装して、セキュリティ層を追加します。
最小権限の原則を適用し、ユーザーが必要なリソースにのみアクセスできるようにします。
CWE-200: Information Exposure
CWE-201: Information Exposure Through Sent Data
CWE-311: Missing Encryption of Sensitive Data
定期的にソフトウェアやシステムにパッチ適用やアップデートを行い、脆弱性に対処します。
侵入検知および防御システム (IDPS) を導入し、認可されていないアクセス試行を検出してブロックします。
機密データを保存時と転送時の両方で暗号化し、認可されていないアクセスから保護します。
CWE-94: Improper Control of Generation of Code
CWE-120: Buffer Copy without Checking Size of Input
CWE-506: Embedded Malicious Code
堅牢なアンチウィルスおよびアンチマルウェアソリューションを導入し、常に最新の状態に保ちます。
安全なブラウジングの習慣や、疑わしい添付ファイルを開いたり信頼できないウェブサイトにアクセスすることに危険性について、定期的に従業員を教育します。
重要なデータの最新のバックアップを維持して、ランサム攻撃の影響を軽減します。
CWE-522: Insufficiently Protected Credentials
CWE-502: Deserialization of Untrusted Data
堅牢なアクセス制御を導入し、従業員が職務に必要なデータおよびシステムにのみアクセスできるようにします。
ユーザーアクティビティを監視およびログ記録して、疑わしい行動やデータ流出を検出します。
定期的にセキュリティ啓発トレーニングを実施して、セキュリティポリシーと認可されていないデータの取り扱いに関連するリスクについて従業員を教育します。
CWE-327: Use of a Broken or Risky Cryptographic Algorithm
CWE-326: Inadequate Encryption Strength
CWE-323: Reusing a Nonce, Key Pair in Encryption
強力で最新の暗号アルゴリズムとプロトコルを使用します。
暗号鍵の安全な保管、ローテーション、配布など、適切な鍵管理を実施します。
業界のベストプラクティスに合わせて、暗号メカニズムを定期的にレビューして更新します。
CWE-312: Cleartext Storage of Sensitive Information
CWE-315: Cross-Site Scripting
CWE-359: Exposure of Private Personal Information
強力なアクセス制御と暗号メカニズムを導入して、保存時と転送時のデータを保護します。
業界標準や規制に準拠するために、定期的にデータ処理手順を評価して更新します。
不要になったデータを安全に削除または廃棄するなど、安全なデータ廃棄プラクティスを実施します。
CWE-829: Inclusion of Functionality from Untrusted Control Sphere
CWE-807: Reliance on Untrusted Inputs in a Security Decision
業務連携を行う前に、サードパーティベンダーのセキュリティ評価を徹底的に行います。
ベンダーのリスク管理プログラムを導入し、サードパーティのセキュリティプラクティスを評価および監視します。
セキュリティ要件や期待事項を含めるように契約書や同意書を定期的にレビューして更新します。
CWE-200: Information Exposure
CWE-522: Insufficiently Protected Credentials
定期的に資産の開示とインベントリ管理を実施して、すべてのデジタル資産の特定しカタログ化します。
データ分類フレームワークを実装して、機密性に基づいてデータを分類し、それに応じて適切なセキュリティ制御を適用します。
データの保存、アクセス制御、安全な廃棄プラクティスなど、データ管理ポリシーと手順を確立します。
CWE-259: Use of Hard-coded Password
CWE-312: Cleartext Storage of Sensitive Information
CWE-359: Exposure of Private Personal Information
組織の業務と取り扱うデータに適用される、関連するデータ保護規制と基準を理解します。
データ処理アクティビティの徹底的な評価を実施して、インベントリについてコンプライアンス上のギャップを特定します。
適用される規制を確実に順守するために、堅牢なデータ保護ポリシー、手順、コントロールを開発および実装します。
規制の進展や新しい要件の発生に応じて、データ保護プラクティスを定期的にレビューして更新します。
従業員にトレーニングおよび啓発プログラムを提供し、従業員が自らの責任とコンプライアンスの重要性を理解できるようにします。
定期的な監査と評価を実施して、コンプライアンスの監視し、改善すべき領域を特定します。
法律顧問やデータ保護専門家と協力して、法的要件とベストプラクティスとの整合性を確保します。
コンプライアンスの取り組みを実証するために、適切な文書と記録を維持します。