OWASP Top 10 内部脅威

{:class="img-responsive"}{:width="750px"}

OWASP Top 10 内部脅威は上位の内部脅威、リスク、脆弱性に関する情報を提供します。

• INT01:2023 – 古いソフトウェア (Outdated Software)

• INT02:2023 – 不十分な脅威検出 (Insufficient Threat Detection)

• INT03:2023 – 安全でない構成 (Insecure Configurations)

• INT04:2023 – 安全でないリソースとユーザーの管理 (Insecure Resource and User Management)

• INT05:2023 – 安全でない暗号技術の使用 (Insecure Use of Cryptography)

• INT06:2023 – 安全でないネットワークアクセス管理 (Insecure Network Access Management)

• INT07:2023 – 安全でないパスワードとデフォルト認証情報 (Insecure Passwords and Default Credentials)

• INT08:2023 – 情報漏洩 (Information Leakage)

• INT09:2023 – リソースおよび管理コンポーネントへの安全でないアクセス (Insecure Access to Ressources and Management Components)

• INT10:2023 – 不十分な資産管理と文書化 (Insufficient Asset Management and Documentation)

動機 - なぜ OWASP Top 10 内部脅威が重要なのか？

この OWASP プロジェクトは内部脅威、リスク、脆弱性に関する意識を高め、質の高い情報を提供することを目的としています。 内部脅威は情報セキュリティにおいて重要な役割を果たします。 最初のアクセスの後、これらの脆弱性は企業や組織全体を侵害する主な原因となります。これらの脅威はサイバーキルチェーンにおいて重要な役割を果たしますが、攻撃ベクトルは外部ではなく内部から発生しているため、企業や組織では見過ごされることはよくあります。 企業や組織は外部への防衛線だけでは十分ではないことを念頭に置く必要があります。攻撃者がたとえばフィッシング経由でこの防衛線やその周辺を通過できて、最初のピボットポイントを取得できる場合、内部防衛メカニズムが必要です。特に内部攻撃と脅威アクターを特定するには脅威検出と監視が必要です。 これらがこのプロジェクトが生まれた理由です。私たちは有益で質の高い情報を提供し、これらの脅威全般についての意識を高めることで、世界中の企業や組織の内部セキュリティを向上したいと考えています。

データ公募、次バージョン、貢献

OWASP Top 10 内部脅威の品質と重要性をさらに改善するために、ぜひ Open Call for Data for 2024 and 2025 に参加してください。 そこでは、匿名または公開でプロジェクトにデータを寄贈できます。2024 および 2025 年中に、すべてのデータを収集して 2026 年に向けて処理します。 このようにして、さらに広範なデータセットを使用して OWASP Top 10 内部脅威 - バージョン 2026 を公開し、品質と重要性をさらに改善する予定です。 貢献者と寄贈者は希望に応じて関連プロジェクトページにスポンサーとして掲載されます。 また、内部脅威に関する脆弱性について CVE や CWE の調査を行う予定です。 詳細や貢献方法については、この リンク を参照してください。