日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページOWASP MASVS v2.0 の実践ガイド
ホーム » 編集カレンダー » API セキュリティ » OWASP MASVS v2.0 の実践ガイド – その進化と実装
OWASP (Open Worldwide Application Security Project) MASVS (Mobile Application Security Verification Standard) は、iOS および Android アプリケーションのセキュリティ体制の向上を目指すモバイル アプリ開発者にとって貴重なリソースです。 この標準は、世界中のセキュリティ専門家の集合的な知識に基づいており、モバイル アプリのセキュリティ要件のベースラインとベンチマークの両方を提供します。
OWASP サイトからダウンロードできる重要なドキュメントは 3 つあります。
チームは、MASVS ドキュメントがいつでも更新できることを明確にしており、推奨事項の大規模なリファクタリングが行われ、2023 年春にリリースされた MASVS の V2.0.0 で最高潮に達しました。
OWASP がモバイル アプリ特有のセキュリティ課題を初めて認識し、2010 年に最初の OWASP Mobile Top 10 を発表して以来、MASVS は進化を続けてきました。MASVS の対象範囲はより包括的になり、同時に簡素化され、コントロール間の重複が解消されました。削除されました。 テストに関する一部のコンテンツは、テスト ケースとして MASTG に移動されました。
MASVS の以前のバージョンでは、L1、L2、R の 3 つのレベルが定義されていました。L1 はベースラインとして意図され、L2 は「機密データを処理するアプリ」の多層防御要件を定義しました。 R レベルでは、クライアント側の脅威から保護するための詳細な推奨事項が提供されました。
MASVS リファクタリングの一環として、これらのレベルは MASVS から削除され、より抽象的なセキュリティ制御セットが作成されました。 ただし、レベルは、MASVS のコントロールに対応するテストの優先順位を付けるのに役立つプロファイルとして MASTG に再表示されます。 この背後にある理論的根拠は、アプリが必要とするセキュリティのレベル (またはプロファイル) に応じて、同じコントロールが異なるテストにつながる可能性があるということです。 このようにして、必要なセキュリティ プロファイルに基づいてさまざまなテストを適用できます。 たとえば、MASVS の特定のカテゴリでは、機密性の高いデータを扱う金融アプリは L2 レベルまでテストされますが、別のアプリでは、特定のカテゴリについて L1 レベルのテストのみを実行する必要がある場合があります。
MASVS 2.0.0 のリリースと同時に、OWASP MAS は新しい Web サイトの一部として MAS Crackmes を再起動しました。 これは、Android および iOS のモバイル リバース エンジニアリングの課題を集めたものです。
MASTG のリファクタリング作業は、自動化と使いやすさに重点を置いて 2023 年まで継続されます。 MASTG テスト ケースは新しい MASVS v2.0 コントロールと連携し、MAS プロジェクトが「アトミック テスト」と呼ぶものを作成します。 現在の大規模な MASTG テスト ケースは、より小さな、より管理しやすいチャンクに分割される予定です。 これにより、MASTG によってサポートされる MASVS テストのよりきめ細かく包括的なビューが提供され、新しいプロファイル (L1、L2、R など) をテストに適用したり、一連のテストを特定のアプリのユースケースにマッピングしたりすることが容易になります。 。
さらに、MASTG プロファイルは、NIST (国立標準技術研究所) OSCAL (Open Security Controls Assessment Language) 標準に準拠します。 これは、MASVS がセキュリティ テストに対してより柔軟かつ包括的なアプローチを提供し、異なるセキュリティ プラットフォームや組織間でセキュリティ管理の共有と再利用を容易にすることを意味します。
MASVS の V2.2.0 では、1 セットのコントロールが完全に削除されました。 これは、MASVS-ARCH で概説されているアーキテクチャ ガイドラインとベスト プラクティスが NIST.SP.800.218 と OWASP ソフトウェア アシュアランス成熟度モデル (SAMM) 標準で十分にカバーされており、車輪の再発明には意味がないとチームが判断したためです。 この変更の追加の利点は、MASVS で説明されているすべてのコントロールを実際にテストできることです。これは、MASVS-ARCH のガバナンスと設計の推奨事項の一部には当てはまりませんでした。
MASVS 2.0.0 は簡素化されており、モバイル アプリで検証する必要がある高レベルのコントロール セットの完全なビューを提供することを目的としています。 ただし、これは、開発者が MASVS 2.0.0 を単独で使用することはできないことを意味します。 MASVS は攻撃対象領域について説明していますが、攻撃対象領域に対する回復力をテストする方法については説明していません。