📗
owasp-proactive-controls-ja
  • OWASP Proactive Controls ja
  • OWASP Top 10 Proactive Controls v4 (2024) 日本語版
    • このプロジェクトについて
    • OWASP について
    • はじめに
    • C1: アクセス制御を実装する (Implement Access Control)
    • C2: 暗号を使用してデータを保護する (Use Cryptography to Protect Data)
    • C3: 信頼できないデータを検証、エスケープ、サニタイズ、パラメータ化する (Validate, Escape, Sanitize or Parameterize Untrusted Data)
    • C4: 最初からセキュリティに対処する (Address Security from the Start)
    • C5: デフォルト設定を安全にする (Secure By Default Configurations)
    • C6: コンポーネントを評価して更新する (Assess and Update your Components)
    • C7: 安全なデジタルアイデンティティ (Secure Digital Identities)
    • C8: ブラウザのセキュリティ機能を活用する (Leverage Browser Security Features)
    • C9: セキュリティログ記録とモニタリングを実装する (Implement Security Logging and Monitoring)
    • C10: サーバーサイドリクエストフォージェリを阻止する (Stop Server Side Request Forgery)
    • おわりに
Powered by GitBook
On this page
  • 説明
  • 脅威
  • 実装
  • 継続的な構成の検証
  • 防止される脆弱性
  • 参考情報
  • ツール
  1. OWASP Top 10 Proactive Controls v4 (2024) 日本語版

C5: デフォルト設定を安全にする (Secure By Default Configurations)

説明

"Secure-by-Default" とは製品が追加料金なしで、箱から出してすぐに、蔓延する悪用技法に対して耐性があることを意味します。ソフトウェアはユーザーによる広範な設定を必要とせずに安全な状態で起動し、デフォルト設定が常に最も安全なオプションとなるようにすべきです。

アプリケーションを最初から安全にする利点は、システムをロックダウンする方法に関して開発者の負担がなくなり、すでに安全な製品を提供していることです。これにより製品を安全な方法でデプロイするために必要な労力を軽減し、長期間にわたって製品を安全に維持するという確信が高まります。

脅威

  • 攻撃者はデフォルト、脆弱、または出荷時の状態から変更されていないよく知られたクレデンシャルを悪用して、認可されていないアクセスを得る可能性があります。

  • 攻撃者は過度に寛容なデフォルト設定を利用して、機密性の高いリソースにアクセスしたり、認可されていないアクションを実行する可能性があります。

  • 攻撃者はデフォルトでアクティブになっている、不必要に有効化された機能やサービスを調べて、機密情報を収集する可能性があります。

  • 攻撃者は脅威に対して適切な保護を提供しない、緩いデフォルトのセキュリティヘッダを悪用して、クロスサイトスクリプティング (XSS) 攻撃を実行する可能性があります。

実装

現代のクラウドアプリケーションでは、開発者がアプリケーションを構築する際に、コードを作成しながら、セキュリティクリティカルな構成を含むインフラストラクチャの決定を行い、アプリケーションのインフラストラクチャも構築します。 これらは、アプリケーションレベル (ウェブサーバーやデータベースなど)、コンテナ、Function as a Service、インフラストラクチャレベルで適用される構成を使用して、コード、Infrastructure-as-code (IaC)、を介して作成および構成されたインフラストラクチャにデプロイされます。たとえば、ウェブアプリケーションの場合、フォルダパーミッションは最小権限の原則に従ってリソースのアクセス権を制限する必要があります。ウェブアプリケーションとモバイルアプリケーションを運用環境にデプロイする際には、デバッグを無効にすべきです。

開発者がインフラストラクチャコンポーネントをまとめる際に、以下を行うことが重要です。

  1. 最小権限の原則に基づいた構成を実装します。たとえば、クラウドストレージ (S3 など) がプライベートであり、最小限の時間でアクセスされるように構成されるようにします。

  2. アクセスはデフォルトで拒否され、許可リストによって許可します。

  3. パッケージやコンポーネントの脆弱性がスキャンされ、プライベートコンテナレジストリから取り出した、コンテナイメージを使用します。

  4. 手作業による構成作業よりも、宣言的なインフラストラクチャ構成を優先します。低レベルでは、Infrastructure-as-Code テンプレートを利用して、クラウドおよびオンプレミスのインフラストラクチャのプロビジョニングと構成を自動化します。高レベルでは、Policy-as-Code を利用して、権限割り当てを含むポリシーを適用します。 宣言的な形式を使用することで、これらのポリシーをソースコードと同様に管理できます。ソースコード管理システム、バージョン管理、アクセス制御管理、変更対象管理などにチェックインします。

  5. トラフィックをデフォルトで暗号化するか、最初から非暗号化通信チャネルを実装しません。

継続的な構成の検証

ソフトウェア開発の一環として、開発者はソフトウェアがアプリケーションレベルでデフォルトで安全に構成されていることを確保する必要があります。たとえば、以下のようにします。

  • インフラストラクチャを定義するコードは最小権限の原則に従う必要があります。

  • アカウント、ソフトウェア、デモ機能などの必要ではない構成や機能は無効にする必要があります。

防止される脆弱性

参考情報

ツール

PreviousC4: 最初からセキュリティに対処する (Address Security from the Start)NextC6: コンポーネントを評価して更新する (Assess and Update your Components)

Last updated 6 months ago

OWASP Cheat Sheet:

OWASP ASVS:

- Terraform テンプレートのオープンソース静的解析

- Infrastructure-as-Code 脆弱性のスキャン

- オープンソースと Infrastructure-as-Code 脆弱性のスキャン

はオープンソースのマルチクラウドセキュリティ監査ツールであり、現在 Amazon Web Services, Microsoft Azure, Google Cloud Platform をサポートしています

- オープンソース、コード、コンテナ、Infrastructure-as-Code の脆弱性のスキャン

- オープンソース、コード、コンテナ、Infrastructure-as-Code の脆弱性のスキャン

- Infrastructure-as-Code の脆弱性のスキャン

- Kubernetes 脆弱性のスキャン

- ポリシーを使用した Kubernetes の保護

OWASP Top 10 2021 A05 – Security Misconfiguration
Infrastructure as Code Security Cheat Sheet
Application Security Verification Standard V14 Configuration
Cloud security guidance - NCSC.GOV.UK
Tfsec
Terrascan
Checkov
Scout Suite
prowler
Cloudmapper
Snyk
Trivy
KICS
Kubescape
Kyverno