1分で分かる!OWASPとは?
~ ことりん君、ネットニュースを見ながら独り言。そこにジャバード先生が通りかかる。 ~
うわ、また起きてる。なになに、情報漏洩でクレジットカード番号が5万件流出だって。んで、こっちはOSの脆弱性を突かれてシステムダウンかぁ…。大変だなぁ。
ことりん君、こんにちは。熱心に何を見てるの?
あ、ジャバード先生!セキュリティ事故に関するニュース記事があったから、ついつい読んじゃったよ。
セキュリティ事故か。確かに少し前と比べても、ITはかなり身近なものになってるからね。当然ことりん君も気になるよね。
そうなんだよねぇ。最近ECサイトで買い物することも増えたんだけど、「xxxのECサイトから個人情報漏洩」っていうやつ、結構みるよね…。さすがに不安になっちゃってさぁ。なんか、こういうことをやってる悪者に対抗する正義のヒーローみたいな人たちはいないのかな?
セキュリティエンジニアは、そういうクラッカーと呼ばれる悪意を持った攻撃者に対抗しているね。まぁヒーローがボランティアみたいなものだとすれば、セキュリティ界だと、OWASP (オワスプ)とかになるのかなぁ。
うわ、なにそれ!OWASPってなんかとってもヒーローっぽくていい感じだね!詳しく教えて!
OWASPっていうのはね、Open Web Application Security Projectの略で、ボランティアでセキュリティに関する様々な活動を行っている組織だよ。全世界に200を超える支部があって、セキュリティのスペシャリストやITのスペシャリストはもちろん、様々な業界に属する人たちが、このOWASPに参加しているんだ。
悪に対抗する正義の集団か…。たまらなくかっこよすぎるね!そのOWASPっていう組織は、具体的にどんなことをやっているの??
OWASPは色んな活動をしているんだけど、最も有名なものはOWASP TOP10と呼ばれるセキュリティレポートの発表だね。
OWASP TOP10?
そう。システムのセキュリティに関するリスクっていうのは、毎年同じものではないんだ。たとえば、あるソフトウェアの脆弱性が見つかった場合、悪い人はそこを狙って攻撃してくるよね?だから、悪い人からセキュリティを守る立場の人たちも、そういった情報にアンテナをはっておき、正しく対応する必要があるんだよ。
なるほどなるほど。悪い人は手を変え、品を変え、だましてこようとするもんね。
そういうことだね。だから、セキュリティのスペシャリスト集団であるOWASPが、セキュリティの重大性、事業への影響などを考慮して、毎年「こういうリスクがあるからみんな気をつけようね!」っていうレポートを出しているってわけだ。
こういう活動を行ってくれるのは本当にありがたいね!ほかにはどういったことをやっているの??
そのほかにも、Webアプリケーションの脆弱性診断を行うためのツールとか、脆弱性診断の練習用サイトとか、すでに発覚した脆弱性の内容や検査方法をまとめたりだとか、いろんなソフトウェアを開発したり、研究しているんだ。
インターネット上の平和も守る最後の砦って感じだね。
そうだね。特にセキュリティを担当するエンジニアになった場合は、OWASPが発信する情報はきちんとチェックしておくとよいよ!
ジャバード先生ありがとう!OWASPについてよくわかったよ!
OWASPとは?採用に役立つOWASPの基礎知識
OWASP (Open Web Application Security Project)とは、ソフトウェア(Webを含む)のセキュリティに関する現状や技術・プロセスなどを共有および啓蒙するセキュリティのプロフェッショナル集団です。OWASPを運営しているのは、OWASP Foundationという組織です。この組織は、全世界に200以上の支部を有しており、ワールドワイドに活動しています。
OWASPに関係するエンジニア
OWASPはセキュリティに関する組織であり、さまざまな活動をしています。そのため、最も関係がある職種としてはセキュリティエンジニアがあげられます。ただし、昨今Webやアプリケーションはさまざまなリスクにさらされています。
ただし、その他のエンジニアについてもセキュリティに関しては把握しておく必要があります。そういった意味ではIT業界に属しているすべてのエンジニアに関係があるといっても過言ではありません。
OWASPに関係するエンジニアの特徴と在籍業界
OWASPの活動は、すべて無報酬のボランティアにより成り立っています。そのため、OWASPの各プロジェクトなどで活動するメンバーは、セキュリティに関する高い意識を有しています。
なお、在籍業界としては、IT業界の中でもセキュリティに特化した企業、あるいは大手IT企業のセキュリティ部門などがあげられます。
採用する時に知っておくとよいこと
セキュリティエンジニアであれば知っておくべきOWASP TOP10
現在、セキュリティエンジニアの市場価値はかなり高まっています。優秀なセキュリティエンジニアは引く手あまたな状態が続いています。そのため、採用でもかなり苦戦することが多いのではないでしょうか。
優秀なセキュリティエンジニアであれば、前述したOWASP TOP10については必ずチェックしています。セキュリティエンジニアのスキルを簡単に見極める方法として活用してみてはいかがでしょうか。
求人のポイント
求人を作成する時は、下記の内容を求人に入れるとよいです。
1システム(サービス)の詳細
※特にそのシステム(サービス)をなぜ作っているのかを熱量をもって記載する。
2開発環境
3現在のエンジニア組織の体制
4現行システムの課題と募集の背景
5求められる業務と期待値
6エンジニアとしてのスキルアップ支援制度の有無と詳細
7エンジニアチーム内での相互成長のための仕組み(勉強会やLT会など)の有無と詳細
8選考フロー
9待遇
10キャリアパス
OWASPの豆知識
OWASP TOP10に関連したサービス
さまざまな記号がOWASP TOP10に準拠した脆弱性診断サービスを展開しています。ここでは、いくつかのサービスを紹介しておきます。
- 三菱電機インフォメーションシステムズ株式会社 脆弱性診断サービス (Webアプリケーション)
- サイバートラスト株式会社 脆弱性診断サービス
- 株式会社ベリサーブ Webアプリケーション 脆弱性診断サービス
OWASP関連の資格
OWASP関連の資格としては、認定脆弱性診断士という資格があります。
この資格は、JNSA ISOG-J (日本セキュリティオペレーション事業者協議会)とOWASP Japan主催の共同ワーキンググループである脆弱性診断士スキルマッププロジェクトに定義された知識や技術が問われます。
なお、この認定資格は以下の2つのコースが存在します。
- 認定Webアプリケーション脆弱性診断士
- 認定ネットワーク脆弱性診断士
OWASP関連のイベント
OWASP関連のイベントとしては、OWASP Global AppSecが有名です。なお、最近ではバーチャルイベント(オンライン上での開催)も行われています。
このイベントでは、セキュリティ、DevOps、クラウドなどの専門家による講演や、パネルディスカッションなどが用意されています。
