OWASP Proactive Controls 2016の日本語訳を作成しました

OWASP Japanの有志メンバーとしてOWASP Proactive Controls 2016の日本語翻訳版を作成しました。今回はこのドキュメントについて紹介します。

OWASP（Open Web Application Security Project）は、Webアプリケーションのセキュリティに関するオープンソースのコミュニティです。様々なドキュメントやツールが公開されていますが、最も有名な成果物は、OWASP Top10でしょう。
OWASP Top10は、最も重要なWebアプリケーションの脆弱性について解説したドキュメントです。

今回、日本語翻訳版が作成されたOWASP Proactive Controlsは、Top10で示されている
脆弱性を作りこまないようにするために、開発プロジェクトでどのように取り組めば良いかを示した「事前の対策ガイドライン」という位置づけです。
Proactive Controlsは2014年に第1版が作成・公開されました。2016年1月16日に大幅改訂版がリリースされ、日本語版は2016年2月27日のオワスプデイ in TOKYO 2016 Springで公開されました。
イベントの模様はYouTubeで公開されています。発表資料はこちらです。

（オワスプデイ in TOKYO 2016 Springの模様、撮影：Katsumi IKEDA様）

Proactive Controls 2016で示されている「10の事前の対策」は次図に示すとおりです。

（OWASP-ProactiveControl2016-Japanese#20160227OWASPDAY by OWASP Japanより）

安全なWebアプリケーションを開発するうえで「最も大事なこと」とされているのは
「C1:早期に、繰り返しセキュリティを検証する」です。今や、ほとんどのWebシステムではセキュリティテストが行われていますが、多くの場合、システム開発の最後の局面に「検査」として行われているのが実情です。セキュリティテストが開発・テストのプロセスと統合されていないのです。

近代的品質管理の格言に「Quality is Planned in, not Inspected in」という言葉があります。日本語にすると「品質は検査するものではなく、作りこむもの」となります。システムの非機能要件である「セキュリティ」も同様です。要件定義や設計の段階からセキュリティを考慮し、テストプロセスにおいてセキュリティに関するテストを継続的に実施していく必要があります。

「システム開発の早い段階からセキュリティを考慮する」ということは、これまでも繰り返し言われてきたことですが、Proactive Controlsではもう一歩踏み込んでいます。アジャイル開発のプラクティスとの統合です。
アジャイル開発には「テスト駆動開発」「継続的インテグレーション」「絶え間なくテストし続ける」というプラクティスがありますが、Proactive Controlsではこうした「システム開発者が行うテスト」にセキュリティテストを組み込む事を提唱しています。この考え方についてはOWASP EU 2014で「Continuous Security Testing in a Devops World」と題して発表されたスライドで詳しく解説されていますので、興味のある方はご覧ください。

これ以外にも、Proactive Controls 2016では、昨今のシステム開発に併せた改訂が随所でなされています。
是非ご一読いただき、システム開発プロジェクトでセキュリティを考える一助として頂ければと思います。