OWASP

一言でいうと

Webセキュリティ業界の事実上の標準を作る、世界的な非営利団体・指針のこと。

詳しい意味

OWASP（Open Worldwide Application Security Project）は、Webアプリケーションのセキュリティ向上を目的とする世界的な非営利団体・コミュニティです。最も有名な成果物が「OWASP Top 10」で、Web アプリで最も危険な脆弱性カテゴリを定期的にランキング化しています。最新版（2021）の上位は「Broken Access Control（認可不備）」「Cryptographic Failures（暗号化不備）」「Injection（SQLインジェクション等）」など。セキュリティ要件を整理する時の出発点として、業界標準の参照材料になっています。OWASP Top 10 は脆弱性検査の観点リストとしても使われ、ペネトレーションテスト発注時のスコープ定義にも頻出します。

何に使うか

セキュリティ要件を整理・標準化したいとき。新規プロダクトの脆弱性検査の観点リストとして。社内セキュリティ研修の教材として。

どんな時に出るか

「OWASP Top 10 を全部潰したい」「OWASPベースで監査」「OWASP ZAP でスキャン」といった場面で登場します。

具体例

• 新規サービスのセキュリティチェックリストは OWASP Top 10 をベースに整備した。
• OWASP ZAP を CI に組み込んで、毎ビルド自動で脆弱性スキャンしている。

別名・略称

関連語

初心者向けメモ

「Webセキュリティ業界の業界標準を作る団体」のイメージです。建築でいう JIS や ISO のような立ち位置で、何を守ればいいかの基本リスト（Top 10）を提供してくれます。エンジニアが「最低限これくらいは守ろう」と確認する時の参照点になります。

この説明に改善点はありますか？

提案は管理者が確認した後に反映されます