Webアプリの10大セキュリティリスク「OWASP Top 10」が4年ぶりに改訂
Webアプリケーションにおける重大なセキュリティリスク10項目がまとめられたレポートであり、世界的な指標にされている「OWASP Top 10」。
2025年11月上旬、米国ワシントンで開かれたイベント「Global AppSec USA」にて、このレポートの最新版となるRelease Candidate版(リリース候補の最終段階)が発表された。(レポートはこちら)
Release Candidate版は、重大な問題が見つからなければ、これがそのまま正式版になるバージョンだ。本レポートはソフトウェアセキュリティの向上を目指す国際的な非営利団体OWASP (Open Worldwide Application Security Project) が発行しており、更新は実に4年ぶりとなる。
本記事では、OWASP Top 10 2025の内容紹介から改定内容、システム運用者が注目すべき変更点の解説、そしてシステム運用現場への影響などをまとめる。
OWASP Top 10とは
Webアプリケーションにおける重大なセキュリティリスク10項目がまとめられたレポート「OWASP Top 10」は、世界中の専門家がボランティアで参加するコミュニティによって作成。特定の企業や国家に依存しない中立的な立場から、アプリケーションセキュリティの業界標準として広く参照されている。
OWASP Top 10は、世界中のアプリケーションから収集された膨大なデータに基づき、「攻撃のされやすさ」、「検知の難しさ」、「ビジネスへの影響度」を総合的に評価し、重要度をランク付けしたものだ。
世界中の専門家が「これが最も危険度だ」と順位付けしているため、「対策の優先順位を決める羅針盤」として使用できる。
改定の概要
今回の改訂では、2つの新しいカテゴリが追加され、1つのカテゴリが統合されるなど、大きな変更が加えられた。
これは、クラウドネイティブ技術の普及、AIの活用、そして複雑化するソフトウェアサプライチェーンといった、近年の技術トレンドがもたらす新たな課題に対応するものだ。
新:OWASP Top 10 2025 全リスト
以下が、今回発表されたOWASP Top 10 2025の全カテゴリである。リストの上位にあるものほど、攻撃される可能性が高く、影響も大きい。
| 順位 | リスク名 | 概要 |
|---|---|---|
| 1 | 不正なアクセス制御(Broken Access Control) | ユーザーの権限を超えた機能やデータへのアクセスを許可してしまう不備。依然として最大のリスク。 |
| 2 | セキュリティ設定の不備(Security Misconfiguration) | クラウドサービスやコンテナ、フレームワークなどの設定ミス。5位から2位へ急上昇。 |
| 3 | ソフトウェアサプライチェーンの不具合(Software Supply Chain Failures) | 依存ライブラリやCI/CDパイプラインなど、サプライチェーン全体に潜むリスク。新設カテゴリ。 |
| 4 | 暗号化の失敗(Cryptographic Failures) | 古い暗号アルゴリズムの使用や鍵管理の不備など、データ保護に関する問題。 |
| 5 | インジェクション(Injection) | SQLインジェクションやクロスサイトスクリプティングなど、信頼できないデータをコマンドとして実行させてしまう脆弱性。 |
| 6 | 安全でない設計(Insecure Design) | 開発の初期段階におけるセキュリティ設計の欠陥。 |
| 7 | 認証の不具合(Authentication Failures) | 認証メカニズム自体の欠陥による不正アクセス。 |
| 8 | ソフトウェアまたはデータの完全性の不具合(Software or Data Integrity Failures) | コードやデータの完全性を検証せずに利用することによるリスク。 |
| 9 | ロギングと警告の不具合(Logging & Alerting Failures) | 攻撃を検知し、適切に対応するためのログ記録と警告機能の欠如。 |
| 10 | 例外条件の不適切な取り扱い(Mishandling of Exceptional Conditions) | 予期せぬエラーや競合状態などを適切に処理できないことに起因する問題。新設カテゴリ。 |
運用者が注目すべき3つの変更点
今回の改訂内容で、特にシステム運用・監視の現場に関わる担当者が注目すべきは、順位を大きく上げた項目と、新たに追加された2つのカテゴリだ。
5位から2位へ急上昇「セキュリティ設定の不備」
これは、アプリケーションの挙動が、コードだけでなくインフラ設定にも大きく左右されるようになった現代を象徴するリスクだ。クラウドサービスやKubernetes、IaC (Infrastructure as Code) の設定ミスが、深刻なインシデントに直結する。
運用現場では、設定ミスを検知する我々と、それを修正する担当者(開発チームや外部委託先など)が異なる場合は特に注意が必要だ。例えば、監視チームがアラートを上げても、修正はインフラ構築を担った外部ベンダーや、社内の開発チームのタスクになる、といった状況だ。この責任と権限の分断は、対応の遅延という致命的なリスクを生む。
誰がどの設定の責任者かを把握し、確実な修正体制を築くことが重要になる。また、SREチームの構築も有効だろう。
関連記事:SREチーム構築の実践ガイド!DevOps連携で実現する、信頼性・開発速度の両立
新登場「ソフトウェアサプライチェーンの不具合」
これは、2021年版の「脆弱で時代遅れのコンポーネント」を拡張したもので、単に古いライブラリを使うリスクだけでなく、ビルドシステムや配布インフラ全体にわたる破綻や機能不全(Failures)いった、より広範な脅威を包括する概念だ。
オープンソースソフトウェアへの依存が深まる現代において、サプライチェーン全体のセキュリティを確保することの重要性を示している。
新登場「例外条件の不適切な取り扱い」
もう一つの新カテゴリは、コードが異常事態を誤って取り扱う(Mishandling)ことで生じるリスクを指す。例えば、エラーメッセージから機密情報が漏洩したり、部分的に完了したトランザクションが悪用されたりするケースがこれにあたる。
システムの堅牢性を確保する上で、正常系だけでなく異常系の処理がいかに重要であるかを浮き彫りにした。
運用現場への影響と対策
システム運用・監視の観点から見ると、今回の変更は示唆に富む。
特に「セキュリティ設定の不備」が2位に上昇した点は見逃せない。これは、アプリケーションの挙動がコードだけでなく、設定ファイルやIaC (Infrastructure as Code) によって決定される場面が増えたことの裏返しである。
クラウド環境やKubernetesの設定不備は、即座に深刻なセキュリティインシデントに直結する。設定のレビュー、自動化されたコンプライアンスチェックの導入が、これまで以上に重要になる。
また、「ロギングと警告の不具合(Logging & Alerting Failures)」への名称変更も重要だ。2021年版の「セキュリティログと監視の不備(Security Logging and Monitoring Failures)」から名称変更されたことは、ログを記録するだけでなくインシデントを即座に検知し、対応アクションを誘発する仕組みの必要性を強調している。
価値あるログと実用的なアラートがなければ、セキュリティ運用は成り立たない。
まとめ
OWASP Top 10 2025では、アプリケーションセキュリティの脅威が、コードそのものの脆弱性から、それをとりまく環境(サプライチェーンやインフラの設定、運用プロセス全体)へと拡大している現実が示されていた。
これは、インフラを管理し、システムの正常性を24時間365日監視する運用担当者も、これらの新しいリスクの最前線にいると読めるだろう。
この新しい指標を羅針盤として、自社のシステムに潜むリスクを再評価し、より強固な防御体制を構築していくことが求められる。
この記事をシェア
