Webアプリケーションで最も高いリスクとは？ OWASP Top 10に新項目がランクイン：セキュリティニュースアラート

OWASPはWebアプリケーションのセキュリティリスクのうち重大なものをリスト化した「OWASP Top 10 2025」を公開した。2025年版のリストでは、幾つかの新たな項目がランクインしている。

[後藤大地，ITmedia]

　セキュリティ関連のオープンコミュニティーであるOWASP（Open Worldwide Application Security Project）は2025年11月6日（現地時間）、Webアプリケーションのセキュリティリスクの中で、最も重大なものをリスト化した「OWASP Top 10 2025」のリリース候補版を公開した。

　これはアプリケーションセキュリティ分野において広く参照されている年次リストの第8版であり、世界中のセキュリティ専門家や企業が提供したデータとコミュニティーの意見をベースに作成されている。今回の更新では、2つの新しいカテゴリーの追加や既存項目の整理、順位の変動などが実施された。

Webアプリケーションで最も高いリスクとは？　OWASP Top 10 2025版を公開

　OWASP Top 10 2025は以下の通りだ。

• 第1位：　Broken Access Control（アクセス制御の欠陥）
• 第2位：　Security Misconfiguration（セキュリティ設定の誤り）
• 第3位：　Software Supply Chain Failures（ソフトウェアサプライチェーンの不備）
• 第4位：　Cryptographic Failures（暗号処理の不備）
• 第5位：　Injection（インジェクション）
• 第6位：　Insecure Design（安全でない設計）
• 第7位：　Authentication Failures（認証の不備）
• 第8位：　Software or Data Integrity Failures（ソフトウェアまたはデータの整合性の欠如）
• 第9位：　Logging & Alerting Failures（ログおよびアラート処理の不備）
• 第10位：　Mishandling of Exceptional Conditions（例外的状況の誤処理）

　「Broken Access Control」は引き続き深刻なアプリケーションセキュリティのリスクだ。収集したデータによれば、テストしたアプリケーションの平均3.73％で同カテゴリーに属する40の共通脆弱（ぜいじゃく）性タイプ（CWE）のいずれかが確認された。このカテゴリーには、従来別項目で扱われていたサーバサイドリクエストフォージェリー（SSRF）も統合されている。

　2位には「Security Misconfiguration」がランクインした。2021年版の5位から大きく上昇し、3.00％のアプリケーションで関連する16のCWEが検出されている。アプリケーションの挙動が構成に依存する割合が増える中で、設定ミスの影響が拡大しているという。

　3位の「Software Supply Chain Failures」は、今回新たに加わった。2021年版での「Vulnerable and Outdated Components（脆弱または旧式のコンポーネント）」を拡張し、ソフトウェア依存関係やビルドシステム、配布インフラ全体における供給網の不備や侵害を対象としている。投票調査でも強い関心が寄せられた分野であり、検出数は少ないものの、影響度と悪用可能性の平均スコアは高い。

　4位は「Cryptographic Failures」で、暗号処理に関する欠陥だ。2021年版では2位だったが、今回は順位を下げている。平均3.80％のアプリケーションで、関連する32のCWEが確認されており、これらの脆弱性は機密情報漏えいやシステム侵害に直結する場合が多い。

　5位の「Injection」は引き続き主要な脅威と位置付けられている。クロスサイトスクリプティングやSQLインジェクションなど、38のCWEがこのカテゴリーに含まれている。発生頻度は高いが、深刻度は脆弱性の種類によって異なる。

　6位には「Insecure Design」が入っている。これは2021年版に新設したカテゴリーで、設計段階での脆弱性を対象としている。脅威モデリングの導入や設計上の安全性向上が進んだものの、依然としてリスクが存在する。

　7位は「Authentication Failures」であり、名称が従来の「Identification and Authentication Failures」から簡略化されている。標準化されている認証フレームワークの普及が影響し、発生頻度はやや減少傾向にある。

　8位となった「Software or Data Integrity Failures」は、ソフトウェアやデータの信頼境界や整合性を維持できない問題を扱う。サプライチェーン全体を扱う「Software Supply Chain Failures」と異なり、より低層レベルでの不整合や改ざんを対象とする。

　「Logging & Alerting Failures」は9位を維持した。以前は「Security Logging and Monitoring Failures」とされていたが、今回はアラート機能の重要性を明確にするため名称が変更された。十分な監視や記録がされていても、適切な警告が生成されなければ、インシデント検知に有効ではないという観点が反映されている。

　10位には新設カテゴリー「Mishandling of Exceptional Conditions」が入った。例外的な動作やエラー処理の不備、論理的誤りなど24のCWEが含まれており、異常状態でのシステム挙動を適切に制御できない問題を対象としている。

　OWASPは今回の改訂において、280万件超のアプリケーションから収集したデータを分析したと説明している。リストは完全にデータ主導ではなく、実務者の意見を反映するコミュニティー調査の結果も取り入れている。データで確認できない新たな傾向やリスクを補完する目的で、10項目中8項目をデータ分析から、残る2項目をコミュニティー投票から選定している。

　分析には589種類のCWEが含まれ、そのうち248のCWEが最終的にTop 10カテゴリーに分類された。米国国立標準技術研究所（NIST）が管理している脆弱性情報データベース（NVD）からは約22万件のCVE情報を抽出し、約17万5000件のCVE-CWEマッピングデータを基に、共通脆弱性評価システム（CVSS）スコアを参照して悪用可能性や影響度を評価している。

　OWASP Top 10は開発者やセキュリティ担当者に教育・啓発資料として位置付けられており、今回の改訂版はサプライチェーン攻撃やエラーハンドリングの不備など、近年顕著となっているリスクを反映した内容となっている。継続的な分析とコミュニティー協力により、今後もアプリケーションセキュリティの実態を示す基準として活用が期待されている。