暗号化の失敗(Cryptographic Failures)とは何か | OWASP 2021

2021年に改訂されたOWASP Top 10:2021の中で、TOP2として挙げられたのが、「Cryptographic Failures」です。
日本語では、「暗号化の失敗」「暗号化エラー」「暗号化の不備」などと訳されています。

前回の改定時の2017年度版では、3位となっていた「機微な情報の露出(Sensitive Data Exposure)」として知られていました。2021年度版では、結果的に機微な情報の露出につながる、暗号化技術の不適切な利用などの暗号化関連の不備について指摘しています。

暗号化の失敗とは

暗号化の失敗について考えるとき、まずは対象のデータを保護(暗号化)する必要があるかの見極めが大切です。

パスワード、クレジットカード番号、健康に関する情報や企業秘密などの重要なデータは特別な保護が必要になります。

扱う機密データは保存時と転送時の両方での暗号化が必要になります。

暗号化には様々な手段があり、急速なコンピュータの性能の向上により、古い暗号化・弱い暗号化を選択すると簡単に情報が流出してしまいます。

保護対象のデータの不適切な選択、暗号化の漏れや弱い暗号化の使用などにより、機密データが危険にさらされる状況が「暗号化の失敗」です。

 

対策

暗号化の失敗を防止するための対策としては、まず不要に機密性の高い情報の収集・保存をしないことが大切です。
保護が必要な場合は、最新のベストプラクティスと呼ばれる暗号化を選択し、保存時・転送時のどちらも安全に保護されていることを確認します。

 

例:

  • 支払いの処理は、既存の支払いプラットフォームを使用して、アプリケーション事態に機密情報を保存しない
  • 弱いアルゴリズムと言われるMDSを使用せず、現在強いと言われるAESを使用する