OWASP ZAP
OWASP ZAP とは何ですか?
OWASP ZAPOWASP 由来の Web アプリ向けオープンソース・セキュリティテストツール Zed Attack Proxy。現在は Checkmarx と ZAP コミュニティが共同で運営している。
OWASP Zed Attack Proxy(ZAP)は、Web アプリと API 向けのオープンソース DAST ツールで、インターセプトプロキシ・自動スキャナー・ファザーとして機能します。ZAP は自動スキャン、Burp 風の UI による手動テスト、JavaScript・Python などでのスクリプト拡張、ZAP API による REST 自動化、Docker イメージや GitHub Actions を介した CI/CD 連携をサポートします。2024 年に運営が OWASP プロジェクトから Checkmarx に移管されましたが、Apache 2.0 ライセンスで無償・オープンソースのままです。セキュリティチームはパイプラインでの夜間 DAST、ペンテスト、研修で活用しています。
● 例
- 01
GitHub Actions のワークフローで ZAP ベースラインスキャンを実行し、各 PR の明白な設定不備を検出する。
- 02
手動ペンテスト中に ZAP HUD で GraphQL リクエストを傍受・改変する。
● よくある質問
OWASP ZAP とは何ですか?
OWASP 由来の Web アプリ向けオープンソース・セキュリティテストツール Zed Attack Proxy。現在は Checkmarx と ZAP コミュニティが共同で運営している。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
OWASP ZAP とはどういう意味ですか?
OWASP 由来の Web アプリ向けオープンソース・セキュリティテストツール Zed Attack Proxy。現在は Checkmarx と ZAP コミュニティが共同で運営している。
OWASP ZAP はどのように機能しますか?
OWASP Zed Attack Proxy(ZAP)は、Web アプリと API 向けのオープンソース DAST ツールで、インターセプトプロキシ・自動スキャナー・ファザーとして機能します。ZAP は自動スキャン、Burp 風の UI による手動テスト、JavaScript・Python などでのスクリプト拡張、ZAP API による REST 自動化、Docker イメージや GitHub Actions を介した CI/CD 連携をサポートします。2024 年に運営が OWASP プロジェクトから Checkmarx に移管されましたが、Apache 2.0 ライセンスで無償・オープンソースのままです。セキュリティチームはパイプラインでの夜間 DAST、ペンテスト、研修で活用しています。
OWASP ZAP からどのように防御しますか?
OWASP ZAP に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
OWASP ZAP の別名は何ですか?
一般的な別名: Zed Attack Proxy, ZAP。
● 関連用語
- appsec№ 273
DAST(動的アプリケーションセキュリティテスト)
稼働中のアプリケーションにネットワーク経由でアクセスして行うブラックボックス型のセキュリティテストで、ランタイムでのみ現れる脆弱性を検出する。
- compliance№ 782
OWASP WSTG
OWASP Web セキュリティテストガイド。Web アプリでもっとも一般的なセキュリティ弱点をどう検証するかを網羅したオープンソースのマニュアル。
- compliance№ 775
OWASP ASVS
OWASP アプリケーションセキュリティ検証標準。Web アプリケーションや API の設計・実装・検証に用いる、検証可能なセキュリティ要件のカタログ。
- compliance№ 776
OWASP Dependency-Check
OWASP が公開するオープンソースのソフトウェアコンポジション分析ツール。プロジェクトの依存関係を走査し、CPE と CVE データの照合で既知脆弱性を報告する。
- appsec№ 166
CI/CD セキュリティ
継続的インテグレーションと継続的デリバリーのパイプラインを、侵害・コード注入・シークレット漏洩・不正デプロイから守るための一連の統制。