default-focus-right

OWASP Top 10

OWASP Top 10 は、Web アプリケーションで見つかった最も一般的な脆弱性をリストアップし、ソフトウェア開発およびアプリケーション配信に際してそれらの脆弱性から保護する方法に関するガイドラインを提供するものです。OWASP Top 10 リストは、特定の製品やアプリケーションには言及せず、ロールの検証やアプリケーションのセキュリティなどの重要な領域に関する DevOps の一般的なベストプラクティスを推奨しています。

プログレスの Kemp® LoadMaster は、次のような形で、階層化されたアプリケーションセキュリティを提供し、情報セキュリティに対する多層防御アプローチに貢献します。

  • デフォルトのポートがすべて閉じられ、不要なサービスとアプリケーションがすべて削除された、最適化された Linux オペレーティングシステム (OS) 上に構築されています。OS へのユーザー認証を厳重にコントロール
  • IDS/IPS (侵入検知および保護) を内蔵
  • コンピュータリソースへのアクセスをインテリジェントに制御し、ポリシーを適用し、使用状況を監査し、サービスの請求に必要な情報を提供するための認証、認可、およびアカウンティングを使用して環境を保護および管理
  • 復号化と再暗号化、完全な証明書管理、OCSP および SNI サポート、完全な暗号スイート管理を含む SSL/TLS サポートを提供します。これをデータプレーンと LoadMaster へのアクセスの両方に適用
  • フル機能の Web アプリケーションファイアウォール (WAF) を含めることが可能

OWASP Top 10 – 2021年に更新された最新版で特定された脆弱性は次の通りです。

OWASP の脆弱性 説明
A1. アクセス制御の不備 ユーザーセッションが認証された後、アプリケーションリソースにアクセス制御を適用しないアプリケーションが多数存在します。その結果、設定が不十分なために脆弱性が発生し、アクセスすべきでないユーザーにデータが公開される可能性があります。機密データへのすべてのアクセスには、認証されたセッションがアクセスを許可されているという前提ではなく、内部アプリケーションのチェックと検証を使用する必要があります。
A2. 暗号化の失敗 財務、医療、PII などの機密データは、転送中と保存中の両方で保護する必要がありますが、暗号化エラーや暗号化の欠如があるとデータが露出してしまう可能性があります。
A3. インジェクション 攻撃者が不正なコンテンツを Web アプリケーションインタープリターに送信し、インタープリターに許可されたコマンドを実行させてしまうという脆弱性です。攻撃者は、アプリケーションのコンテキストで悪意のあるコードを実行し、機密データや保護領域にアクセスできるようになります。
A4. 安全が確認されない不安な設計 アーキテクチャや設計上の問題を指摘する新しいカテゴリです。ソリューションとしては、ソフトウェア開発プロセスの開始時から、すべてのモデリングと計画にセキュリティを統合することが含まれます。脅威を絶えず評価し、攻撃を防ぐ堅牢な設計が求められます。
A5. セキュリティの設定ミス これは、最新のセキュリティパッチの不適用、不要な機能のデフォルトでの有効化、デフォルトのパスワードの使用、デフォルトのアカウントの使用など、様々なシナリオをカバーする非常に幅広い包括的なセクションです。
A6. 脆弱で古くなったコンポーネント アプリケーション開発で使用されるサードパーティーのコンポーネント、ライブラリ、およびフレームワークには、アプリケーション全体のセキュリティを危険にさらす既知の脆弱性がある可能性があります。
A7. 識別と認証の失敗 認証スキームとセッション管理の実装が正しくないと、権限のないユーザーが有効なユーザーの ID を偽って利用できてしまう可能性があります。
A8. ソフトウェアとデータの整合性の不具合 データセキュリティへの懸念が高まったことから追加された、新しいカテゴリです。ソフトウェアアップデート、重要なアプリケーションデータ、CI/CD パイプラインの整合性に関するもので、攻撃者がそれらを改ざんしても整合性がないことが検出されない脆弱性があります。
A9. セキュリティログとモニタリングの失敗 ログや監査情報が適切に記録・利用されず、システムが十分に監視されていないと、攻撃やデータ損失が長期間検出されません。そのような場合、攻撃者はシステムの弱点を悪用し続け、検出されない欠陥を使用して他のアプリケーションを攻撃する可能性があります。
A10. サーバーサイドリクエストフォージェリ (SSRF) これも新しいカテゴリです。SSRF の脆弱性により、攻撃者は認証されていないカスタム URL に基づいてリモートリソース上のデータにアクセスできます。ファイアウォールまたは VPN で保護されているサーバーが未検証のユーザー入力を受け入れてしまうと、そのサーバーでもこの脆弱性の影響を受ける可能性があります。

LoadMaster によるアプリケーションセキュリティ

LoadMaster は、サービスの整合性と可用性を確保し、可能な限り最高のユーザーアプリケーションエクスペリエンス (AX) を維持するために、アプリケーションに追加のセキュリティ層を提供するための費用対効果の高い方法を提供します。

この階層型セキュリティアプローチの詳細については、「アプリケーションのセキュリティ」のページを参照してください。

最適化された高性能ロードバランサー、LoadMaster でアプリケーション常時稼働を実現

無料試用の申し込み お問い合わせ
Follow Kemp
プロダクト
ソリューション
リソース
Resources
プログレス
Progress Software Logo

Kemp は、プログレスの製品ポートフォリオの一部です。プログレスは、アプリケーション開発とデジタルエクスペリエンス技術の主導的プロバイダです。

Copyright © 2024 Progress Software Corporation 、そして/または その子会社もしくは関連会社。全著作権を所有。

Progress、Telerik、Ipswitch、Chef、Kemp、Flowmon、MarkLogic、Semaphore と、ここで使用される特定の商品名は、Progress Software Corporation、そして/または 米国内もしくはその他の国の子会社あるいは関連会社の1つ、の商標、または登録商標です。適切な表示のためには、Trademarks を参照してください。

個人情報の販売または共有を不許可

Powered by Progress Sitefiniuty