弊社エーアイセキュリティラボでは、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事を、定期的にQiitaにアップしております。

今回は、OWASP ASVS（Application Security Verification Standard）について、エーアイセキュリティラボの視点でご紹介しています。

https://qiita.com/AeyeScan/items/0a5ba6605daa92a6ddee

ASVSの概要と活用事例について

ASVS は OWASP コミュニティの主導で公開されているセキュリティ要件やテストのリストです。Webアプリケーションのセキュリティに関する10大脅威をまとめた OWASP Top 10 が有名ですが、ASVS はOWASP Top 10 に比べて広い範囲をサポートしており、一般的なソフトウェア開発のベストプラクティスなども含まれていることから、よりセキュアなアプリケーション開発に適していると考えられます。

ASVS では3段階のレベルが定義されており、レベル1は「すべてのアプリケーションが目指すべき必要最低限のレベル」と定義されています。項目のチェックのしやすさや汎用性から、まずはレベル1でASVS準拠のプロセスを確立し、組織内に浸透させてから次のレベルを目指すという進め方が良いかと思います。

なお、レベル1は低保証レベル（low assurance level）向けとされ、検証要件数も一番少ないのですが、それでも13章131項目にも渡る幅広いトピックを有しています。

AeyeScanではそのうちの7章を除く12章101項目を自動で確認可能ですので、ASVSを採用したいけれどハードルが高いなと感じられた方は、ぜひ弊社までご相談ください！

AeyeScanのトライアル、脆弱性診断の自動化のご相談はこちら