1.8. ガイドラインの観点別マッピング

ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。

1.8.1. セキュリティ対策に関するマッピング

1.8.1.1. OWASP(Open Web Application Security Project)による観点

OWASP（Open Web Application Security Project）は、Webアプリケーションのセキュリティ向上を目的とした国際的なオープンソースコミュニティである。

OWASPでは、Webアプリケーションにおけるセキュリティ上のリスクを特定・分類し、その対策方法を提供しており、OWASP Top 10 for 2025としてWebアプリケーションで最も重要なセキュリティリスクの上位10項目をまとめている。

OWASP Top 10 for 2025を確認し、堅牢なアプリケーションを構築するために必要な対策を講じることが重要である。

本節では、OWASP Top 10 for 2025の各項目に対応するガイドライン内の関連箇所を示す。

項番	項目名	ガイドライン内の関連箇所
A1:2025	Broken Access Control	ディレクトリトラバーサル攻撃
A2:2025	Security Misconfiguration	例外コードを画面表示する方法 XXE(XML External Entity) 対策について XXE 対策の有効化 ログの出力内容 認可エラー時の遷移先
A3:2025	Software Supply Chain Failures	特に言及なし
A4:2025	Cryptographic Failures	暗号化したプロパティ値を復号して使用する 暗号化 パスワードのハッシュ化
A5:2025	Injection SQL Injection	SQL Injection対策
A5:2025	Injection OS Command Injection	OSコマンドインジェクション対策
A5:2025	Injection Email Header Injection	メールヘッダ・インジェクション対策
A5:2025	Injection	セキュリティ観点での入力値チェック プリプロセッシング
A5:2025	Injection Cross-Site Scripting (XSS)	XSS対策 Content-Security-Policy
A6:2025	Insecure Design	特に言及なし
A7:2025	Authentication Failures	セッションハイジャック攻撃への対策 セッション固定攻撃への対策 パスワードのハッシュ化
A8:2025	Software or Data Integrity Failures	特に言及なし
A9:2025	Security Logging & Alerting Failures	イベントリスナの作成 監査ログ出力
A10:2025	Mishandling of Exceptional Conditions	例外ハンドリング 認証例外情報の隠蔽 トランザクション管理について 入力チェック 共通ライブラリが提供するJSP Tag Library と EL Functions

1.8.1.2. CVE(Common Vulnerabilities and Exposures)による観点

ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。

ガイドラインで言及していないCVEについては、Pivotal Product Vulnerability Reportsを参照されたい。

CVE	概要	ガイドラインでの言及箇所
CVE-2014-1904	<form:form>タグの action属性を省略するとXSS攻撃を受ける可能性がある	JSPの実装
CVE-2015-3192	DTDを使用したDoS攻撃が可能となる	How to use アプリケーションの設定
CVE-2016-5007	Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる	アクセスポリシーの定義
CVE-2019-12415	Apache POI 4.1.0以前を利用したEXCELファイルからXMLへの変換において、細工されたEXCELファイルによるXXE攻撃を受ける可能性がある	Spring Test DBUnitを利用したテスト
CVE-2020-5408	暗号化の結果が毎回同一となることを利用した辞書攻撃により、暗号化前の平文を取得されてしまう可能性がある	文字列の暗号化