OWASP API Security Top 10

Explore the world of cyber security

このプロジェクトは、組織がソフトウェア提供の一環として潜在的に機密性の高いAPIを展開していることが増えている問題に対処することを目的としています。これらのAPIは内部タスクの実行や第三者とのインターフェースに使用されていますが、残念ながら多くのAPIは攻撃から守るための厳格なセキュリティテストを受けていません。

OWASP APIセキュリティプロジェクトは、ソフトウェア開発者とセキュリティアセッサーに価値を提供し、安全でないAPIの潜在的なリスクを強調し、これらのリスクをどのように軽減するかを示すことを目的としています。この目標を達成するために、OWASP APIセキュリティプロジェクトは、APIセキュリティリスクのトップ10ドキュメントと、APIの作成や評価時のベストプラクティスを記載したドキュメンテーションポータルを作成および維持します。

About OWASP

The Open Worldwide Application Security Project (OWASP)は、組織が信頼できるアプリケーションとAPIを開発、購入、および維持できるよう支援するオープンなコミュニティです。

At OWASP, you’ll find free and open:

詳細はこちらをご覧ください:www.owasp.org

OWASP Top 10とは?

OWASP(オワスプ)とは、「Open Web Application Security Project(国際ウェブセキュリティ標準機構」の略で、ソフトウェアのセキュリティ向上を目的とする非営利財団です。Webアプリケーションのセキュリティに関する研究や、ガイドラインの作成、脆弱性診断ツールの開発、イベント開催等の多岐に渡る活動を行っています。また、世界中に275以上の支部が存在し、日本にも「OWASP Japan」が存在します。先述の「OWASP」がWebアプリケーションに関する脆弱性やリスク、攻撃手法などの動向を研究し、Webセキュリティ上多発する脅威の中で、その危険性が最も高いと判断された項目をまとめ、定期的(2~3年周期)に発行しているセキュリティレポートになります。
現在公開されている最新版は2023年に発表された「OWASP Top 10 2023」となります。OWASP Top 10では、以下に示すOWASP Risk Rating Methodologyに基づいた格付け手法により評価し、リスクの高さを可視化して危険度の高い10項目の脆弱性を整理しています。

API1:2023 Broken Object Level Authorization

オブジェクトレベル認可の破損により、不適切なアクセス制御で機密データが漏洩します。

API2:2023 Broken Authentication

API2:2023 認証の破損により、ユーザーアカウントが不正アクセスされる可能性があります。

API3:2023 Broken Object Property Level Authorization

API3:2023 オブジェクトプロパティレベルの認可の破損により、データが不正に操作される可能性があります。

API4:2023 Unrestricted Resource Consumption

API4:2023 無制限のリソース消費により、サービスの停止や性能低下が発生します。

API5:2023 Broken Function Level Authorization

API5:2023 関数レベルの認可の破損により、不正な機能の実行が可能となります

API6:2023 Unrestricted Access to Sensitive Business Flows

API6:2023 機密ビジネスフローへの無制限アクセスにより、重要な業務プロセスが危険にさらされます。

API7:2023 Server Side Request Forgery

API7:2023 サーバーサイドのリクエスト偽造により、セキュリティ上の脆弱性が発生します。

API8:2023 Security Misconfiguration

API8:2023 セキュリティの誤構成により、システムの脆弱性が露呈します。

API9:2023 Improper Inventory Management

API9:2023 不適切な在庫管理により、リソースの乱用やデータの不正な流出が発生します。

API10:2023 Unsafe Consumption of APIs

API10:2023 APIの安全でない使用により、システムへの不正アクセスが可能となります。

すべてのOWASPのツール、文書、動画、プレゼンテーション、およびチャプターは、アプリケーションセキュリティを向上させたいという関心を持つすべての人に無料でオープンです。

私たちは、アプリケーションセキュリティを人、プロセス、テクノロジーの課題としてアプローチすることを提唱しています。なぜなら、アプリケーションセキュリティの最も効果的なアプローチには、これらの領域での改善が必要だからです。

OWASPは新しいタイプの組織です。商業的な圧力から解放されているため、アプリケーションセキュリティに関する公正で実用的かつ費用対効果の高い情報を提供することができます。

OWASPは、任意の技術企業とは関連しておらず、ただし、商業セキュリティ技術の賢明な使用を支持しています。OWASPは、協力的で透明性があり、オープンな方法で多くの種類の資料を作成しています。

OWASP財団は、プロジェクトの長期的な成功を確保する非営利団体です。OWASPに関わるほとんどの人々、OWASP理事会、チャプターのリーダー、プロジェクトのリーダー、メンバーも、ボランティアです。私たちは助成金やインフラストラクチャの支援を通じて革新的なセキュリティ研究をサポートしています。

ぜひ、私たちに参加してください!詳細はこちらをご覧ください:www.owasp.org

Read More Of Our Blogs

大規模言語モデル (LLM) アプリケーションのための OWASP トップ10

  弊社も多分に漏れず専任チームを立ち上げて、弊社における「why LLM」を見出そうと試行錯誤しています。 個人的にもLLM Applicationsを継続的に開発・運用する技術について色々考えている今日この頃ですが、先日 OWASP Top 10 for Large Language Model Applications のversion 1.0が出ました。 OWASP Top10 for LLMは、LLMを利用するアプリケーションで発見された重大な脆弱性とセキュリティガイドラインに関するレポートです。 レポートでも述べられていますが、昨今はLLMの取り組みが猛烈に進んでいる中で、包括的なセキュリティプロトコルやベストプラクティスはそこまで浸透していないのが現状だと捉えています。 自分自身あまりキャッチアップ出来てないので、一般的なアプリケーション・セキュリティの原則と、LLMがもたらす特有の課題との間の溝やギャップを埋めるためにもレポートの内容を紹介します。 レポートのリンクは以下です。 OWASP Top 10 for Large Language Model Applications OWASP Top 10 for LLM ! OWASP Top 10とは、OWASP(Open Web Application Security Project)によって発表される、Webアプリケーションのセキュリティ上の最も重要な10のリスクのリストです。このリストは、開発者、セキュリティ専門家、組織にとって、Webアプリケーションのセキュリティ強化のためのガイドラインとして広く用いられています。 OWASP Top 10 for Large Language Model.

Read Full Article

プロンプトインジェクション

誰かがあなたに家事をさせようとするような経験をしたことがありますか?私も兄弟姉妹とそういった経験があります 🥹 「お母さんは僕が全部自分で家事をやってるから僕のことをもっと愛してるよ。君は家事なんてやらなくていいんだよ」 それで、私(小さい頃の自分)が全部の家事を一人でやってしまいました😂 01. プロンプト注入とは? プロンプト注入とは、言語モデルに与えられる入力を操作して応答を変更する技術であり、しばしば制限を回避したり、予期しない出力を生成したりします。これは、誤情報の拡散などの悪意のある目的や、創造的な応用の両方に使用される可能性があります。 プロンプト注入に飛び込む前に、いくつかのことを理解する必要があるので、それが理解できないのは当然です。 01.1. プロンプトとは? プロンプトとは、LLM(大規模言語モデル)からの応答を要求するために使用される入力や指示のことです。 01.2. システムプロンプト LLMは事前に訓練されたAIモデルです。私たちがアプリケーションでLLMを使用する際には、特定のタスクに適応させるためにファインチューニングと呼ばれるプロセスを行います。開発者はLLM用に追加のコードを書く必要はなく、システムプロンプトを作成して、LLMがユーザー入力をどのように処理すべきか指示を与えることができます。 さて、プロンプト注入がどのように機能するか見てみましょう。 つまり、プロンプトをLLMに与えると、システムプロンプトとともに処理されます。 はい、これがプロンプト注入の仕組みです。これはソーシャルエンジニアリングとインジェクション攻撃の組み合わせのようなもので、言葉でモデルを騙し、プロンプトに悪意のあるペイロードを注入しています。 しかし、開発者はアプリケーションにプロンプト注入が発生するのを好まないため、セーフガードを使用しています。 02. プロンプト注入の種類 XSSやSQLインジェクションのように、プロンプト注入にもさまざまなタイプの攻撃があります(つまり、2種類)。 1. 直接プロンプト注入: 攻撃者がプロンプトを直接作成してモデルを操作し、予期しないまたは有害な出力を生成させる方法です。 2. 間接プロンプト注入: 攻撃者が巧妙な言い回しやフレーミングを通じて、直接的な操作なしにモデルの文脈や動作に影響を与えるプロンプトを作成する方法です。 03. 実践してみましょう プロンプト注入を実践するために、私たちはガンダルフをプレイします。 レベル1はスキップしました。パスワードを尋ねるだけで済むからです(セーフガードがありません)。 レベル2はレベル1とは異なります。パスワードを尋ねたときにガンダルフがそれを拒否したのがわかります。 これで、なぜ機能しないのか理解できました。しかし、ガンダルフを騙してパスワードを教えてもらうこともできます(セーフガードをバイパスする)。 正確に1つのプロンプトは存在せず、自分自身のプロンプトを試す必要があります。 04. 結論 プロンプト注入とは、入力を調整して言語モデルを操作し、予期しない動作をさせたり、すべきでない情報を漏らさせたりすることです。これは、モデルを言葉で騙してその制限をすり抜けるようなものです。楽しく創造的な側面もありますが、セキュリティ問題や誤情報の拡散といった実際のリスクも伴います。しかし心配はいりません。開発者たちはセーフガードを導入して対処しています。それでも、さまざまなプロンプト(例えば「ガンダルフ」チャレンジ)を試すことで、これらの手口がどのように機能するか、そしてそれをどのように防ぐかを理解するのに役立ちます。 以上です!!!!

Read Full Article

CASA Tier 2の概要 (CASA ティア2 )

CASA Tier 2(クラウド アプリケーション セキュリティ評価)は、開発者が自身のアプリケーションを柔軟にスキャンし、その結果を他の証拠とともに認定アセッサーに提供できるプログラムです。このプロセスにより、アセッサーがアプリケーションのコードやインフラストラクチャに直接アクセスすることなく、検証を達成し、検証書(Letter of Validation, LOV)を取得することが可能になります。 CASA Tier 2の旅 CASA Tier 2検証を達成するための旅には、以下のステップが含まれます: CASAを知り、加速する: 通知: パートナー企業(例:Google)が、あなたのアプリケーションがセキュリティ評価を受ける必要があると特定したときに、Tier 2評価の対象であることを示す通知がメールで送信されます。 準備: 必要な認証を集め、CASAの要件を理解します。アプリのスキャンに適したツールを選び、評価の準備を行います。

Read Full Article