読み方 : オワスプ

OWASP【Open Web Application Security Project】

OWASPとは?

Webアプリケーションセキュリティ向上を目的として活動する国際的な非営利コミュニティ。2001年に設立されたOWASP財団(OWASP Foundation)が主催しており、世界各地に支部を持つ。特定の企業に依存しない中立的な立場から、脆弱性対策や安全なソフトウェア開発に関する情報を無償で公開している。
OWASPのイメージ画像

活動の中心は、セキュリティに関する文書やガイドライン、ツールなどの作成と公開である。成果物はすべて無償で提供されており、ソフトウェア開発者やセキュリティ担当者だけでなく、システム開発に携わる技術者や学習者など、立場に依らず誰でも利用することができる。

代表的な成果物が「OWASP Top 10」である。Webアプリケーションにおいて特に重大とされるセキュリティリスクを上位10件にまとめた文書で、実際の攻撃傾向や被害データをもとに数年ごとに改訂される。「SQLインジェクション」「認証の不備」「アクセス制御の欠陥」など、多くの被害をもたらしてきた問題が整理されており、開発者が優先的に対処すべき項目を把握する際の参考資料として世界中で利用されている。

文書のほかにも、セキュリティ診断やテストを支援するツールを開発・公開している。Webアプリケーションの通信内容を解析してセキュリティ上の問題を検出する「OWASP ZAP」(現在はZAPプロジェクトとして独立)や、安全なソフトウェア設計のための検証標準「OWASP ASVS」(Application Security Verification Standard)などがよく知られる。いずれもオープンソースで提供されており、開発工程への組み込みや社内教育への活用が可能である。OWASPの文書はPCI DSSなどの業界セキュリティ基準にも引用されており、Webアプリケーションセキュリティに関する事実上の国際的な基準として参照されている。

他の辞典等による「OWASP」の解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。