OWASP
OWASP(Open Worldwide Application Security Project)とは、ソフトウェアセキュリティの向上を目的とするオープンなコミュニティプロジェクトであり、脆弱性リスクのランキング「OWASP Top 10」で広く知られている。
Web アプリケーションのセキュリティに関わったことがあれば、OWASP Top 10 という名前を一度は目にしているはずだ。SQL インジェクション、XSS、認証の不備——開発者が繰り返し踏む脆弱性パターンを体系化し、優先的に対処すべきリスクとして公開している。
OWASP 自体は特定のツールやベンダーではなく、世界中のセキュリティ専門家がボランティアで運営する非営利プロジェクトである。Top 10 リスト以外にも、テストガイド(OWASP Testing Guide)、脆弱性診断手法(ASVS)、開発ライフサイクルへのセキュリティ組み込み(SAMM)など、多数のプロジェクトを公開している。
生成 AI の普及に伴い、OWASP Top 10 for LLM Applications が公開された。プロンプトインジェクション、機密情報の漏洩、過剰な権限付与など、LLM 固有のリスクを 10 項目に整理している。従来の Web セキュリティと異なり、入力が自然言語であるため、従来のバリデーションだけでは防げない攻撃が含まれる点が特徴的だ。
DevSecOps の文脈では、OWASP のガイドラインを CI/CD パイプラインに組み込み、脆弱性を開発サイクルの早期で検出する運用が一般的になっている。
