2021年に改訂されたOWASP Top 10:2021の中で、5位の項目として「Security Misconfiguration」が挙げられています。
日本語では、「セキュリティの設定ミス」「セキュリティ上の構成ミス」「セキュリティの誤った設定」など呼ばれています。

前回の改定時の2017年度版では、6位でしたが、高度な設定が可能なソフトウェアの増加の結果、順位が上がったと考えられます。

セキュリティの設定ミスとは

各アプリケーションやソフトウェアには、様々な設定項目があります。セキュリティの設定ミスとは、その設定項目についてデフォルトから変更しないなど、安全でない状態であることを指します。

その他に、Webアプリケーションのセキュリティの設定ミスの例として、不要なサービスや機能を有効にする、クラウドサービスのアクセス許可を適切に設定しない、ソフトウェアの更新をしないなどが挙げられます。

身近な例では、使用しているスマートフォンのパスコードをオフの設定にし、紛失した際に誰でも使用できるといったケースも、セキュリティの設定ミスです。

対策

それぞれの組織や各アプリケーションによって、満たすべき要件やリスクの許容度が異なるため、一概にどのような設定にすべきかという答えはありません。関係するチームがセキュリティの設定ミスについて理解し、各設定についてリスクを考慮の上、意図的に決定していくことが大切です。