2025年版 OWASP トップ10リスト: 変更点と押さえておくべきポイント
Senior Content Marketing Manager
待望の2025 OWASP トップ10リストはほぼ最終形* にあります。その「リリース候補」または「ドラフト」バージョンが、2025年11月6日木曜日に Open Worldwide Application Security Project (OWASP) による Global AppSec Conference にて発表されました。
OWASP トップ10 はおよそ4年ごとに更新され、サイバーセキュリティの状況変化を踏まえて、新たに台頭する脅威を示しています。これには共通脆弱性タイプ一覧 (CWE)、または一般的なソフトウェアとハードウェアの脆弱性がリストされています。このリストは、最も重大なアプリケーション・セキュリティ・リスク10項目を順位づけし、あわせてそれらへの対処指針を示す基準的なリファレンスとして機能しています。OWASP の目標は、開発者とセキュリティ実務者が脅威をより深く理解し、対処できるように支援することです。
**2025年版リストに (可能性は低いものの) 修正が入った場合は、この投稿も随時更新されます。**
では、新しい(ほぼ完成した)2025年版 OWASP トップ10リストには何が含まれているのでしょうか?
簡単に言うと、多くの CWE は同じですが、注意すべき大きな更新点が2つあります。これらの変更点については次のセクションで詳しく見ていきますが、ソフトウェアの複雑化と相互依存の進行 (それに伴うリスク) を示すものと言えるでしょう。2025年版の更新内容を理解することは、すべての AppSec (アプリケーションセキュリティ) プログラムにとって不可欠です。
A01:2025 - アクセス制御の不備 (2021年版では A01)
OWASP の説明: アクセスコントロールは、ユーザーが本来許可されている範囲を越えて操作できないよう、ポリシーを強制する仕組みです。アクセス制御の不備は、通常、権限のない情報の開示や改ざん、データの破壊、あるいはユーザーの権限を超えた業務操作の実行につながります。
A02:2025 - セキュリティの設定ミス (2021年のA05)
OWASPの説明: セキュリティの設定ミスとは、アプリケーション、またはクラウドサービスがセキュリティの観点から不適切に設定され、脆弱性が生じることを指します。
A03:2025 - ソフトウェアサプライチェーンの不具合 (2025年新規)
OWASP の説明: ソフトウェアサプライチェーンの障害とは、ソフトウェアの構築、配布、更新の過程で発生する不具合やその他の侵害を指します。多くの場合、システムが依存するサードパーティー製のコードやツール、その他の依存関係に存在する脆弱性や悪意ある変更が原因で発生します。
A04:2025 - 暗号化の失敗 (2021年版では A02)
OWASP の説明: この脆弱性は、暗号化の欠如や暗号強度の不足、暗号鍵の漏洩、その他関連するエラーに起因する問題に焦点を当てています。
A05:2025 - インジェクション (2021年版では A03)
OWASP の説明: インジェクション脆弱性とは、攻撃者がプログラムの入力欄に悪意あるコードやコマンド (SQL やシェルコードなど) を挿入できるシステム上の欠陥であり、システムがそれを自身の一部として実行してしまうように騙される状況を指します。これは非常に深刻な結果を招く可能性があります。
A06:2025 - 安全が確認されない不安な設計 (2021年版では A04)
OWASP の説明: 安全が確認されない不安な設計とは、「欠如している、または効果のないコントロール設計」と表現されるさまざまな脆弱性を包含する広範なカテゴリです。
A07:2025 - 認証の失敗 (2021年版では A07)
OWASP の説明: 攻撃者が、無効または不正なユーザーを正規のユーザーとしてシステムに認識させることができる状況を指します。
A08:2025 - ソフトウェアやデータの整合性の不具合 (2021年版では A08)
OWASP の説明: ソフトウェアおよびデータの整合性の失敗とは、無効または信頼できないコードやデータが、あたかも信頼できる有効なものとして扱われることを防げないコードやインフラに関する問題を指します。
A09:2025 - ログ記録と警告の失敗 (2021年版では A09)
OWASP の説明: ログ記録と監視がなければ、攻撃やセキュリティ侵害を検知できず、アラートがなければ、セキュリティインシデント発生時に迅速かつ効果的に対応することは非常に困難です。十分なログ記録、継続的な監視、検知、アラートが行われず、能動的な対応を開始できない状態は、いつでも発生し得ます。
A10:2025 - 例外的な状況の誤処理 (2025年新規)
OWASP の説明: ソフトウェアでの例外的な状況の誤処理とは、プログラムが通常とは異なる予測不能な事態を防止、検知、対応できない場合に発生し、その結果、クラッシュや予期せぬ挙動、場合によっては脆弱性につながることを指します。これは次の3つのいずれか、または複数の失敗を含む場合があります。アプリケーションが異常な状況の発生を防げない、発生中の状況を検知できない、および/または発生後の対応が不十分、あるいは全く行われない、というケースです。
2025年版 OWASP トップ10リストにおける変更点
2025年版のリストには、「ソフトウェアサプライチェーンの不具合」と「例外的な状況の誤処理」の2つの新しいカテゴリーが追加されました。さらに、2021年版の A10: 「サーバーサイド・リクエスト・フォージェリー (SSRF) 」が A01:2025「アクセス制御の不備」に統合されました。
2021年版の A02、A03、A04 は順位を少し下げたものの順序自体は変わらず、依然として一般的である一方で、2025年版ではより緊急性の高い CWE があることを示しています。
2025年版の変更の全体的なテーマは、「全体像に目を向けること」を重視している点にあります。特定の脆弱性だけに注力するのではなく、ソフトウェア開発ライフサイクル (SDLC) 全体を俯瞰する視点が浮かび上がってきました。
新規 A03 - ソフトウェアサプライチェーンの不具合
まずはじめに、A03 - 「ソフトウェアサプライチェーンの不具合」は、「脆弱で古いコンポーネント」というラベルの付いた2021年のカテゴリーを拡張したものです。この拡張の目的は、サプライチェーンにおけるコンポーネントの限定的な影響だけでなく、ソフトウェアサプライチェーン全体を対象に含めることでした。2025年版では、ソフトウェアの「構築、配布、更新のプロセス」に関わるすべてが対象となっています。
OWASP は、「サプライチェーンの不具合を特定することは依然として課題である」と指摘しています。このカテゴリーの拡張は、ソフトウェアサプライチェーンの複雑さを認識していることを示しています。開発プロセスのどの部分に関わるものも、結果に悪影響を及ぼす可能性があり、非常に広範なセキュリティ対策の範囲が求められることを意味します。
新規 A10 - 例外的な状況の誤処理
2つ目の新しいカテゴリー、A10「例外的な状況の誤処理」は、レジリエンスに焦点を当てることの重要性を示しています。OWASP は「例外的な状況を適切に検知・処理することにより、プログラムの基盤となるインフラストラクチャが予測不能な事態に対処しなければならない状況を避けられる」と強調しています。彼らは組織に対し、システム上のあらゆるエラーを検知する際には「最悪の事態を想定する」よう助言しています。
この追加項目は、組織全体で「失敗に備える」文化へのシフトが必要であることを示しています。すなわち、組織が物事がいつ、どのように問題になるかを予測し、問題は必ず起こるものとして前提に置くことを意味します。これは、失敗が起きてもシステムが安定して対応できるような実践や手順を整備すること (言い換えれば「レジリエンスを構築する」こと) を含みます。OWASP は、組織が自らの AppSec プログラムを標準フレームワークに照らして成熟度を測定し、必要に応じて改善を行うことを推奨しています。
A10:2021 「サーバーサイド・リクエスト・フォージェリー」が A01:2025 の「アクセス制御の不備」に統合されました。
2021年版のリストでは、A10:2021「サーバーサイド・リクエスト・フォージェリー」は独立したカテゴリーでした。2025年、「サーバーサイド・リクエスト・フォージェリー (SSRF) 」が2025年版の「アクセス制御の不備」カテゴリーに吸収されました。
これは、多くの SSRF 問題が本質的にはアクセス制御の不備に起因しており、攻撃者がサーバーに対して本来アクセスできないリクエスト (例えば内部サービスやメタデータエンドポイントへのリクエスト) を強制できてしまう、という視点を反映しています。OWASP は、SSRF を個別に追跡するのではなく、アクセス制御の破損の具体的な現れとして扱うようになりました。
これは、セキュリティプログラムにとって何を意味するのでしょうか。
トップ10リストに加えられた変更により、ソフトウェア開発ライフサイクル全体にわたり、より包括的なセキュリティの視点が必要であることが浮き彫りになりました。最上位のレベルでは、OWASP は環境全体で再現可能なセキュリティプロセスと標準的なセキュリティ制御を確立・運用することを推奨しています。具体的には、2025年版のリストの調査結果に基づいて5つの改善領域を示しました。
リスクベースのアプローチを確立する
OWASP は、組織に対して、規制要件を満たすことからアプリケーションポートフォリオのニーズを特定することまで、ビジネスの観点からリスクを検討するよう促しており、リスク許容度を確立する必要があります。このリスク許容度から、共通のリスク評価モデルを使用することで、リスクを測定するための構造化された方法を提供できます。
強固なセキュリティプログラムの基盤を構築する
OWASP は、すべての開発チームとセキュリティチームが遵守すべき基本的な方針と標準を確立することを、組織に対して推奨しています。
既存のプロセスにセキュリティを統合する
既存の開発・運用上のプロセスにセキュリティを統合することで、開発のスピードを維持しつつ、既存のプロセスやツールの改善点にも目を向けることができます。
AppSec 教育を優先する
セキュリティ・チャンピオン・プログラム、あるいは少なくとも一般的なセキュリティ教育は必須であるべきです。セキュリティは全員の責任です。
上級ステークホルダーに可視性を提供する
OWASP は、組織は「指標による管理」を目指すべきだと述べています。これは、AppSec プログラムの機能に対する明確な可視性に基づいて意思決定を行うことを意味します。
OWASP の推奨事項の詳細な説明については、こちらをご覧ください。
OWASP トップ10 に対するセキュリティ対策を Fastly はどのようにサポートするか
OWASP トップ10 に挙げられるセキュリティリスクを解消するには、多層的なセキュリティ対策と、既存のセキュリティプログラム全体を俯瞰する総合的なアプローチが必要です。大枠として、組織はコーディングからインフラ、サードパーティーコンポーネントに至るまで、セキュリティを考慮することを徹底すべきです。
ランキング | カテゴリー | Fastly の対応 |
|---|---|---|
A01:2025 | アクセス制御の不備 | - Fastly の Next-Gen WAF は、ディレクトリトラバーサルのような悪意あるリクエストがオリジンサーバーに到達する前にブロックします。 |
A02:2025 | セキュリティの設定ミス | - Fastly エッジクラウドプラットフォームは、Content-SecurityPolicy や Strict-Transport-Security などのセキュリティヘッダーを追加するよう設定することも可能です。エッジからクライアントに返されるレスポンスヘッダーを自動で設定することで、設定ミスのあるアプリケーションやオリジンサーバーに対する追加の保護層を提供できます。 |
A03:2025 | ソフトウェアサプライチェーンの不具合 | - ソフトウェアサプライチェーンのその他の部分については、Next-Gen WAF は新たに発見された脅威や CVE に対して仮想パッチを提供します。仮想パッチは、新たな脆弱性に対する一時的な防御策を提供します。基盤となるソフトウェアが修正される間、脆弱性を悪用する試みをブロックする役割を果たします。 - Fastly は、ソフトウェアサプライチェーンの一部として自動的に最新バージョンに更新され、バグやその他の問題に対してサービスを強化します。 |
A04:2025 | 暗号化の失敗 | Fastly エッジクラウドプラットフォームは、グローバル規模でトランスポート・レイヤー・セキュリティ (TLS) の終端とアクセラレーションを実行し、安全なデフォルト設定 (TLS 1.3 や弱い暗号の無効化など) によってお客様を保護します。同プラットフォームでは、アプリケーションの機密性が高い領域へのリクエストを含むアプリケーションリクエストに脆弱な暗号化やプロトコルが使用されることがありません。- Fastly の Next-Gen WAF はリクエストをログし、必要なレスポンス・セキュリティ・ヘッダーが欠落している場合にアラートを発します。 |
A05:2025 | インジェクション | Fastlyの Next-Gen WAF は、追加のルール設定や調整なしで、デフォルトでインジェクション攻撃を検知します。 Fastlyの Next-Gen WAF は、独自の検知技術 SmartParse を活用しており、リアルタイムでリクエストを評価し、悪意あるまたは異常なペイロードの有無を即座に判断します。SmartParse は、リクエストのコンテキストや実際の実行内容を評価することで、非常に正確な判断を行います。 |
A06:2025 | 安全が確認されない不安な設計 | - Next-Gen WAF では、アプリケーション内の脆弱なルートやフローに対するアクティビティを監視するため、カスタムシグナルを作成することが可能です。例えば、決済フローに関連するアプリケーションが構築され、機密性が高い経路が存在する場合、アプリケーションのその部分に対するクライアントリクエストにカスタムシグナルをアタッチすることが可能です。カスタムシグナルにより、アクティビティをモニタリングし、リクエストの属性に基づき、悪意のある動作を行うと判断された場合にブロックまたはレート制限を行うルールを作成できます。 |
A07:2025 | 認証の失敗 | - Next-Gen WAF では、クレデンシャルスタッフィングなどのブルートフォース攻撃を検知して攻撃者のログイン試行をブロックすることで防御を構成できます。失敗したログイン試行をすべてログし、攻撃が検出されるとすぐに管理者に警告します。 - Next-Gen WAF は、"none" アルゴリズムを使用した JSON Web トークンなど、不正な認証試行を検出できます。 |
A08:2025 | ソフトウェアやデータの整合性の不具合 | - Next-Gen WAF は、インジェクション攻撃などの攻撃に対して、すべてのリクエストを検査します。 |
AO9:2025 | 不具合のログ記録とアラート | - Next-Gen WAF は、すべての受信HTTPリクエストを監視し、攻撃や異常を検出します。これには、成功と失敗の両方を含むあらゆるログイン試行のモニタリングとログ記録が含まれます。 - Next-Gen WAF は、ダッシュボードのデフォルトの Webhook 統合のリストにリアルタイムのイベント通知を送信します。 |
A10:2025 | 例外的な状況の誤処理 | - Fastly は、自動 DDoS Protection、設定可能なレート制限、可能な範囲での異常状態に関するアラートの提供、そして包括的なダッシュボードを通じて、AppSec プログラムの信頼できる情報源を作成し、何か問題が起きていないか素早く把握できる機能を提供します。 |
新しい OWASP トップ10 が貴社のアプリにとって実際に何を意味するのか把握したい場合は、私たちがお手伝いします。Fastly のセキュリティ専門家チーム、またはアカウントチームにお問い合わせください。