OWASP

おわすぷ

OWASP

OWASP(Open Worldwide Application Security Project)とは、ソフトウェアセキュリティの向上を目的とするオープンなコミュニティプロジェクトであり、脆弱性リスクのランキング「OWASP Top 10」で広く知られている。

Web アプリケーションのセキュリティに関わったことがあれば、OWASP Top 10 という名前を一度は目にしているはずだ。SQL インジェクション、XSS、認証の不備——開発者が繰り返し踏む脆弱性パターンを体系化し、優先的に対処すべきリスクとして公開している。

OWASP 自体は特定のツールやベンダーではなく、世界中のセキュリティ専門家がボランティアで運営する非営利プロジェクトである。Top 10 リスト以外にも、テストガイド(OWASP Testing Guide)、脆弱性診断手法(ASVS)、開発ライフサイクルへのセキュリティ組み込み(SAMM)など、多数のプロジェクトを公開している。

生成 AI の普及に伴い、OWASP Top 10 for LLM Applications が公開された。プロンプトインジェクション、機密情報の漏洩、過剰な権限付与など、LLM 固有のリスクを 10 項目に整理している。従来の Web セキュリティと異なり、入力が自然言語であるため、従来のバリデーションだけでは防げない攻撃が含まれる点が特徴的だ。

DevSecOps の文脈では、OWASP のガイドラインを CI/CD パイプラインに組み込み、脆弱性を開発サイクルの早期で検出する運用が一般的になっている。

関連用語

AI ROI(AI投資対効果)
AI活用・ビジネス

AI ROI(AI投資対効果)

AI ROIとは、AI導入・運用に投じたコストに対して得られた業務効率化・収益改善などの効果を定量的に測定する指標のこと。

AIオブザーバビリティ(AI Observability)
AI活用・ビジネス

AIオブザーバビリティ(AI Observability)

本番稼働中のAIシステムの入出力・レイテンシ・コスト・品質を継続的に監視・可視化する運用プラクティス。ハルシネーションやドリフトの早期検出に不可欠。

BPO(ビジネス・プロセス・アウトソーシング)
AI活用・ビジネス

BPO(ビジネス・プロセス・アウトソーシング)

BPOとは、企業が特定の業務プロセスを外部の専門業者に委託するアウトソーシング形態のこと。AI活用による自動化と組み合わせたAIハイブリッドBPOが近年注目されている。

ERP(エンタープライズ・リソース・プランニング)
AI活用・ビジネス

ERP(エンタープライズ・リソース・プランニング)

ERP(エンタープライズ・リソース・プランニング)とは、財務・購買・製造・人事などの基幹業務データを一元管理し、経営意思決定を支援する統合型業務管理システムのこと。