owasp-non-human-identities-top-10-ja
  • OWASP Non-Human Identities Top 10 ja
  • OWASP 非人間アイデンティティ Top 10 2025 日本語版
    • ランキング基準
    • OWASP 非人間アイデンティティ Top 10 - 2025
    • NHI1:2025 不適切なオブボーディング (Improper Offboarding)
    • NHI2:2025 シークレットの漏洩 (Secret Leakage)
    • NHI3:2025 脆弱なサードパーティ NHI (Vulnerable Third-Party NHI)
    • NHI4:2025 安全でない認証 (Insecure Authentication)
    • NHI5:2025 過剰特権の NHI (Overprivileged NHI)
    • NHI6:2025 安全でないクラウドデプロイメントの設定 (Insecure Cloud Deployment Configurations)
    • NHI7:2025 長期間有効なシークレット (Long-Lived Secrets)
    • NHI8:2025 環境の分離 (Environment Isolation)
    • NHI9:2025 NHI の再使用 (NHI Reuse)
    • NHI10:2025 NHI の人間による使用 (Human Use of NHI)
Powered by GitBook
On this page
  • 基準と用語
  • 想定の説明
  1. OWASP 非人間アイデンティティ Top 10 2025 日本語版

ランキング基準

PreviousOWASP Non-Human Identities Top 10 jaNextOWASP 非人間アイデンティティ Top 10 - 2025

Last updated 1 month ago

OWASP NHI Top-10 2025 プロジェクトでは OWASP の を使用してリスク基準を定義および評価しました。

このプロジェクトの目的は非人間アイデンティティ (NHI) に関連するリスクを特定し、優先順位を付け、ランク付けすることでした。これを実現するために、私たちは特定の脅威シナリオの発生可能性や NHI を管理する組織固有のニュアンスを考慮することなく、固有のリスク要因のみに焦点を当てました。

この方法論は、最も差し迫ったリスクを強調しながらも、さまざまな環境に適応できる一貫したアプローチを確保します。

基準と用語

以下の表はランキングプロセスで使用される基準と用語をまとめたものです。

脅威エージェント (Threat Agents): 悪用可能性 (Exploitability)

セキュリティ上の弱点 (Security Weakness): 蔓延度 (Prevalence)

セキュリティ上の弱点 (Security Weakness): 検出可能性 (Detectability)

影響度 (Impact): 技術的影響 (Technical)

容易 (Easy): 3

広範 (Widespread): 3

困難 (Hard): 3

重大 (Severe): 3

普通 (Average): 2

普通 (Common): 2

普通 (Average): 2

普通 (Moderate): 2

困難 (Hard): 1

まれ (Uncommon): 1

容易 (Easy): 1

低い (Low): 1

想定の説明

一貫性を保つために、ランキングプロセスでは特定の想定を適用しました。

  • 悪用可能性 (Exploitability): スコアは、組織がリスクに対してすでに脆弱であり、脅威アクターが悪用を試みるのに十分な知識を持っていることを想定しています。

  • 影響度 (Impact): 影響度スコアは「最悪なシナリオ」を反映し、リスクから生じる可能性のある最も深刻な結果を考慮しています。

  • 蔓延度 (Prevalence): 蔓延度の評価は、緩和策を考慮することなく、セキュリティ上の弱点が環境全体にどの程度広がっているかに焦点を当てています。

  • 検出可能性 (Detectability): これは、通常の検出メカニズムがあると想定して、組織がセキュリティ上の弱点を特定することがどの程度困難であるかを考慮しています。

これらの想定でランキングプロセスを構築することにより、非人間アイデンティティに関連するリスクを理解して対処するための明確で実用的なフレームワークを提供することを目指しています。

Risk Rating Methodology