OWASP ASVSとは?
Application Security Verification Standard=ASVSで、OWASPのプロジェクトで、日本語の訳では「アプリケーションセキュリティ検証標準」が当てられている。
ASVS は現代の Web アプリケーションおよび Web サービスを設計、開発、テストする際に必要となる、機能的および非機能的なセキュリティ管理策の定義に焦点を当てた、セキュリティ要件および管理策のフレームワークを確立するコミュニティ主導の取り組みです。
https://github.com/owasp-ja/asvs-ja/blob/master/5.0/ja/0x02-Preface.md
という説明があり、Webアプリケーションのセキュリティに関する叡智が詰まっている、はず。
最新版は、4.0.3らしい。
OWASP Application Security Verification Standard | OWASP Foundation
日本語訳は、2つありました。
OWASP「アプリケーションセキュリティ検証標準 4.0」の日本語邦訳文書公開について | SAJ 一般社団法人ソフトウェア協会
アプリケーションセキュリティ検証標準では 3 つのセキュリティ検証レベルが定義されている。
- ASVS レベル 1 は低保証レベル向けであり、すべてがペネトレーションテスト可能です。
- ASVS レベル 2 は機密データを含むアプリケーション向けであり、保護を必要とし、ほとんどのアプリに推奨されるレベルです。
- ASVS レベル 3 は極めて重要なアプリケーション向けであり、高額取引を行うアプリケーション、機密性の高い医療データを持つアプリケーション、最高レベルの信頼性を必要とするアプリケーションのためのものです。
各 ASVS レベルはセキュリティ要件のリストを含みます。これらの各要件はセキュリティ固有の機能や開発者がソフトウェアに組み込む必要のある機能にもマップできます。
と書いてあるものの、良く分からなくなってくる。
ASVSは難解?
以下のサイトで概要と実際の活用方法が分かりました。
ASVSでは、包括的な枠組みを提供してくれるものの、具体策は別の話になってくる。
上記サイトでは、以下の3つの使用を薦めている。
- OWASP Proactive Controls(OPC)
- OWASP Cheat Sheet Series Project(OCSS)
- OWASP DevGuide
OPCは、セキュリティを高めるために考慮するべき10個のポイント(セキュリティ要件の定義、セキュリティフレームワークとライブラリの利用など)が重要度順に列挙されている。
OCSSは、77ジャンルにおけるベストプラクティスがまとめられている。
こちらのサイトで、ASVS・OPC・OCSSの関連性がまとめられている。
Introduction - OWASP Cheat Sheet Series
ASVSのV1.1と関連するチートシートとそのリンク。
SSDLを回す為に、3つのチートから具体策を検討してみよう、ということになる。
まとめ
ASVSという枠組みをOPCやOCSSという具体策で補うことで、組織にとって有効な対策の実行ができそう。
ASVSはDefectDojoというセキュリティ管理ツールとも連携が取れるらしい。
DefectDojo | CI/CD and DevSecOps Automation
SAMMも枠組みの提供であり、その実現のために、ASVSを用いて具体化していく流れになるのだろうか。