OWASP チートシートシリーズ

このスキルは、開発者、アーキテクト、セキュリティプロフェッショナルのための簡潔で実践的なセキュリティガイダンスの集大成であるOWASP チートシートシリーズへの直接アクセスを提供します。すべてのコンテンツは公式OWASPリポジトリから取得されます。

このスキルを使用する場合

以下の場合にこのスキルを使用してください:

• セキュアなウェブアプリケーションを開発する場合
• セキュリティ脆弱性についてコードをレビューする場合
• 認証および認可システムを実装する場合
• インジェクション攻撃(SQL、XSS、CSRF等)を防止する場合
• データストレージとデータ転送を保護する場合
• セキュアなインフラストラクチャを構成する場合
• 新興技術(AI、クラウド、コンテナ等)を使用する場合
• OWASPのベストプラクティスに従う場合

クイックスタート

最も一般的なセキュリティタスク

タスク	チートシート
セキュアな認証実装	Authentication Cheat Sheet
パスワード保存のベストプラクティス	Password Storage Cheat Sheet
セッション管理のセキュリティ	Session Management Cheat Sheet
SQLインジェクション防止	SQL Injection Prevention Cheat Sheet
クロスサイトスクリプティング(XSS)防止	XSS Prevention Cheat Sheet
CSRF防止	CSRF Prevention Cheat Sheet
入力値検証	Input Validation Cheat Sheet
暗号化ストレージ	Cryptographic Storage Cheat Sheet

カテゴリ概要

OWASP チートシートシリーズは次のカテゴリで整理されています:

1. 認証と認可

ユーザーID確認、アクセス制御、セッション管理のすべての側面。

チートシート:

• Authentication Cheat Sheet
• Password Storage Cheat Sheet
• Session Management Cheat Sheet
• Authorization Cheat Sheet
• Access Control Cheat Sheet
• Forgot Password Cheat Sheet
• Multifactor Authentication Cheat Sheet
• Choosing and Using Security Questions Cheat Sheet
• Credential Stuffing Prevention Cheat Sheet
• JAAS Cheat Sheet

2. インジェクション防止

異なるテクノロジー全体にわたるあらゆる形式のインジェクション攻撃を防止します。

チートシート:

• SQL Injection Prevention Cheat Sheet
• Cross-Site Scripting (XSS) Prevention Cheat Sheet
• DOM-based XSS Prevention Cheat Sheet
• XSS Filter Evasion Cheat Sheet
• Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet
• OS Command Injection Defense Cheat Sheet
• LDAP Injection Prevention Cheat Sheet
• Deserialization Cheat Sheet
• Server Side Request Forgery Prevention Cheat Sheet
• Prototype Pollution Prevention Cheat Sheet
• Mass Assignment Cheat Sheet
• Insecure Direct Object Reference Prevention Cheat Sheet
• Query Parameterization Cheat Sheet
• Injection Prevention in Java Cheat Sheet

3. データ保護

保存中、転送中、処理中のデータを保護します。

チートシート:

• Cryptographic Storage Cheat Sheet
• Key Management Cheat Sheet
• Secrets Management Cheat Sheet
• TLS Cipher String Cheat Sheet
• HTTP Strict Transport Security Cheat Sheet
• HTTP Headers Cheat Sheet
• Content Security Policy Cheat Sheet
• Cookie Theft Mitigation Cheat Sheet
• Pinning Cheat Sheet

4. アプリケーションセキュリティ

一般的なアプリケーションセキュリティ原則とプラクティス。

チートシート:

• Input Validation Cheat Sheet
• Error Handling Cheat Sheet
• Logging Cheat Sheet
• Logging Vocabulary Cheat Sheet
• Secure Code Review Cheat Sheet
• Secure Product Design Cheat Sheet
• Business Logic Security Cheat Sheet
• Attack Surface Analysis Cheat Sheet
• Abuse Case Cheat Sheet
• Denial of Service Cheat Sheet
• File Upload Cheat Sheet
• Email Validation and Verification Cheat Sheet
• Security Terminology Cheat Sheet
• Bean Validation Cheat Sheet

5. インフラストラクチャとデプロイメントセキュリティ

インフラストラクチャとデプロイメントパイプラインを保護します。

チートシート:

• Docker Security Cheat Sheet
• Kubernetes Security Cheat Sheet
• CI/CD Security Cheat Sheet
• GitHub Actions Security Cheat Sheet
• Infrastructure as Code Security Cheat Sheet
• Serverless FaaS Security Cheat Sheet
• Secure Cloud Architecture Cheat Sheet
• Network Segmentation Cheat Sheet
• Dependency Graph SBOM Cheat Sheet
• Software Supply Chain Security Cheat Sheet
• Database Security Cheat Sheet
• NoSQL Security Cheat Sheet

6. フレームワークと言語別ガイダンス

特定のフレームワークと言語向けのセキュリティガイダンス。

チートシート:

• Java Security Cheat Sheet
• DotNet Security Cheat Sheet
• Nodejs Security Cheat Sheet
• NodeJS Docker Cheat Sheet
• PHP Configuration Cheat Sheet
• Django Security Cheat Sheet
• Django REST Framework Cheat Sheet
• Ruby on Rails Cheat Sheet
• Laravel Cheat Sheet
• Symfony Cheat Sheet
• C-Based Toolchain Hardening Cheat Sheet

7. 新興技術

最新および新興技術向けのセキュリティ。

チートシート:

• AI Agent Security Cheat Sheet
• LLM Prompt Injection Prevention Cheat Sheet
• RAG Security Cheat Sheet
• Secure AI Model Ops Cheat Sheet
• Secure Coding with AI Cheat Sheet
• MCP Security Cheat Sheet
• Drone Security Cheat Sheet
• Automotive Security Cheat Sheet
• Mobile Application Security Cheat Sheet
• Microservices Security Cheat Sheet
• Microservices based Security Arch Doc Cheat Sheet
• GraphQL Cheat Sheet
• REST Security Cheat Sheet
• REST Assessment Cheat Sheet

8. 専門的なトピック

ニッチだが重要なセキュリティ領域。

チートシート:

• Browser Extension Vulnerabilities Cheat Sheet
• Third Party Javascript Management Cheat Sheet
• Securing Cascading Style Sheets Cheat Sheet
• Clickjacking Defense Cheat Sheet
• DOM Clobbering Prevention Cheat Sheet
• Subdomain Takeover Prevention Cheat Sheet
• OAuth2 Cheat Sheet
• SAML Security Cheat Sheet
• JSON Web Token for Java Cheat Sheet
• Legacy Application Management Cheat Sheet
• Multi Tenant Security Cheat Sheet
• Bot Management and Anti-Automation Cheat Sheet
• Authorization Testing Automation Cheat Sheet

このスキルの使用方法

開発者向け

1. セキュリティの懸念を特定する(例: SQLインジェクションを防止したい)
2. 関連するカテゴリに移動する(インジェクション防止)
3. 特定のチートシートリンクをクリックする(SQL インジェクション防止)
4. 公式OWASP ドキュメントで提供されるアクション可能なガイダンスに従う

セキュリティレビュアー向け

1. 攻撃対象領域分析チートシートを使用して潜在的な脆弱性を特定する
2. 関連する防止チートシートと相互参照する
3. セキュアコードレビューチートシートの原則を適用する
4. ロギングチートシートのガイダンスを使用して結果を文書化する

アーキテクト向け

1. セキュアプロダクト設計チートシートから開始する
2. セキュアクラウドアーキテクチャの原則を適用する
3. マイクロサービスセキュリティチートシートを分散システム向けに使用する
4. インフラストラクチャアズコードセキュリティのベストプラクティスを実装する

一般的なセキュリティパターン

認証フロー

1. ユーザーが認証情報(ユーザー名/パスワード)を提供する
2. 入力値を検証する(入力値検証チートシート)
3. パスワードを安全に検証する(パスワード保存チートシート)
4. セッションを作成する(セッション管理チートシート)
5. セキュアなクッキーを設定する(クッキー盗取軽減チートシート)
6. 必要に応じてMFAを実装する(多要素認証チートシート)

セキュアなデータアクセス

1. ユーザー入力を受け取る
2. すべての入力を検証する(入力値検証チートシート)
3. パラメータ化されたクエリを使用する(SQLインジェクション防止チートシート)
4. 出力をエンコードする(XSS防止チートシート)
5. 適切にアクセスをログに記録する(ロギングチートシート)

API セキュリティチェックリスト

• すべてのエンドポイントでの入力値検証(入力値検証)
• 認証と認可(認証、認可)
• レート制限(サービス拒否)
• セキュアヘッダー(HTTPヘッダー)
• CORS設定
• 情報漏洩のないエラーハンドリング(エラーハンドリング)

OWASP Top 10 マッピング

チートシートはOWASP Top 10の脆弱性と整合しています:

OWASP Top 10	関連するチートシート
A01:2021 - アクセス制御の不備	Access Control, Authorization, Insecure Direct Object Reference Prevention
A02:2021 - 暗号化の失敗	Cryptographic Storage, [Password Storage](https://github.com/OWASP/CheatSheetSeries/blob/master/ch