エグゼクティブサマリー
OWASP Top 10は、Webアプリケーションセキュリティリスクの業界標準のランキングとして機能します。2025年11月6日、OWASPは2025年版をリリースしました ― 2021年以来の最初の主要更新です。これは単なる漸進的な改訂ではなく、脅威ランドスケープとアプリケーションセキュリティの考え方における根本的な変化を反映しています。
2つの新カテゴリが更新の見出しを飾ります:ソフトウェアサプライチェーンの失敗(A03)は、侵害された依存関係、悪意あるパッケージ、改ざんされたビルドパイプラインの脅威の増大に対処します。例外条件の不適切処理(A10)は、アプリケーションがどう失敗するかが、どう成功するかと同様に重要であることを認識します。一方、Broken Access Controlは第1位を維持し、Security Misconfigurationは第5位から第2位へ躍進しました。
ランキングを超えて、2025年版は症状から根本原因への哲学的転換を意味します。以前のバージョンが「機密データの露出」を指摘するかもしれなかったところで、新しいフレームワークは「暗号化の失敗」 ― 露出を可能にする基礎的な弱点 ― を特定します。本レポートは各カテゴリを分析し、ランキング変更を説明し、新しいフレームワークに適応するセキュリティプログラムへの実行可能なガイダンスを提供します。
2021年 vs 2025年:完全なランキング比較
2025年更新はいくつかのカテゴリを再編成し、2つの新エントリを導入しました。これらの変更を理解することは、セキュリティ投資の優先順位付けに役立ちます。
| 2025年順位 | カテゴリ | 2021年順位 | 変化 | CWE |
|---|---|---|---|---|
| A01 | Broken Access Control | #1 | 安定(SSRF統合) | 40 |
| A02 | Security Misconfiguration | #5 | +3位 | 16 |
| A03 | ソフトウェアサプライチェーンの失敗 | 新 | コミュニティ優先#1 | 5 |
| A04 | Cryptographic Failures | #2 | -2位 | 32 |
| A05 | Injection | #3 | -2位 | 38 |
| A06 | Insecure Design | #4 | -2位 | — |
| A07 | Authentication Failures | #7 | 安定 | 36 |
| A08 | Software/Data Integrity Failures | #8 | 安定 | — |
| A09 | Logging & Alerting Failures | #9 | 安定(名称変更) | 5 |
| A10 | 例外条件の不適切処理 | 新 | 24のCWEを統合 | 24 |
A01:2025 ― Broken Access Control
2版連続で第1位を維持するBroken Access Controlは、最も重要なWebアプリケーションセキュリティリスクです。2025年、SSRFがこのカテゴリに統合されました。
発生率:3.73%
テストされたすべてのアプリケーションのうち、3.73%が破られたアクセス制御の脆弱性を示しました。318,000を超える発生数で、最高の発生率を持ちます。
40のCWEをカバー
最大のカテゴリで、CWE-200(機密情報の露出)、CWE-352(CSRF)、現在はCWE-918(SSRF)を含みます。
94%のテストカバレッジ
ほぼすべてのアプリケーション(94%)が破られたアクセス制御についてテストされ、業界全体の意識を実証しています。
SSRFが現在含まれる
以前A10:2021であったServer-Side Request Forgeryが、Broken Access Controlに統合されました。
A02:2025 ― Security Misconfiguration(#5から上昇)
2025年で最も劇的なランキング変更は、Security Misconfigurationが第5位から第2位へ急上昇したことです。これは、多くのセキュリティインシデントが洗練された悪用ではなく、悪用可能な条件を作り出す基本的な構成ミスから生じるという認識の高まりを反映しています。
このカテゴリは、変更されていないデフォルト構成、有効化された不要な機能、情報を漏洩する詳細なエラーメッセージ、欠落したセキュリティヘッダー、古いソフトウェア、安全でないクラウドストレージ権限を包含します。第2位への上昇は明確なメッセージを送ります:組織は構成管理をセキュリティ上重要な機能として扱う必要があります。
テストされたアプリケーションの3.00%に影響する16のCWEを持つ構成ミスは、しばしば攻撃者にとって低い果実です。特殊なツールやゼロデイ悪用は不要で、共通の弱点を探る忍耐だけで十分です。
コミュニティの第1懸念事項が公式カテゴリとなります。サプライチェーン攻撃は、依存関係、ビルドシステム、配布チャネルに対する信頼を悪用します。注目すべきインシデントには、SolarWinds(2020年)、Log4j(2021年)、XZ Utils(2024年)が含まれます。このカテゴリはデータ発生数が最少(5つのCWE)ですが、平均悪用と影響スコアが最高です ― 成功した攻撃は壊滅的な損害をもたらします。組織はコンポーネントの整合性を検証し、依存関係の更新を監視し、Software Composition Analysisを実装する必要があります。
インジェクションの低下:#1から#5へ
かつてWebアプリケーションリスクの絶対的王者であったインジェクション脆弱性は、第1位(2017年)から第3位(2021年)、そして第5位(2025年)へと低下しました。この低下は本物のセキュリティ改善を反映します。
フレームワーク採用
パラメータ化クエリ、プリペアドステートメント、ORM層を持つ現代フレームワークが、SQLインジェクションを構造的に導入しにくくしました。
静的解析
SASTツールが開発中にインジェクションパターンを効果的に検出し、本番前に脆弱性を捕捉します。
開発者教育
20年の意識向上キャンペーンにより、インジェクション防止はあらゆるセキュリティトレーニングで教えられる基礎スキルとなりました。
A04:2025 ― Cryptographic Failures(#2から下降)
Cryptographic Failuresは2位下降して第4位となりましたが、これは重要性の低下を示すものではありません。むしろ、構成ミスとサプライチェーンの懸念の台頭が相対的にそれを押し下げました。32のCWEと3.80%の発生率を持つ暗号化の弱点は、依然として重要です。
このカテゴリは、保存中および転送中のデータを保護する失敗 ― 弱いアルゴリズム、不適切な鍵管理、不十分なエントロピー、廃止されたプロトコル、証明書検証バイパス ― に対処します。「露出」ではなく「失敗」の強調は、OWASPの根本原因への転換を反映しています。
A10:2025 ― 例外条件の不適切処理(新)
2つ目の新カテゴリは、アプリケーションがどう失敗するかがどう成功するかと同様に重要であることを認識します。
このカテゴリは、不適切なエラー処理、ロジックエラー、フェイルオープン、競合状態、その他の異常条件から生じるシナリオに焦点を当てた24のCWEを含みます。システムが予期しない入力や状態に遭遇した時、その失敗モードが攻撃者がアクセスを得るかどうかを決定します。
安全なシステムは「フェイルクローズ」 ― 何かがうまくいかない時、アクセスを拒否します。安全でないシステムは「フェイルオープン」 ― エラーは制御の迂回をもたらします。典型例:認証データベースが到達不能な時にアクセスを許可するログインシステム。
詳細なエラーメッセージは、スタックトレース、データベーススキーマ、ファイルパス、内部ロジックを明かします。攻撃者はこの情報を使って攻撃を洗練します。本番システムは汎用エラーを表示しつつ、詳細をサーバー側で記録すべきです。
Time-of-check to time-of-use(TOCTOU)脆弱性は、条件が検証される時と作用される時のギャップを攻撃者が悪用することを可能にします。これらのロジックエラーは、認証、認可、財務統制を迂回し得ます。
これらの弱点は以前「コード品質の低さ」の下に分類されていましたが、そのセキュリティ影響は専用のフォーカスを正当化します。アプリケーションが分散アーキテクチャでより複雑になるにつれて、例外条件 ― そして不適切処理の機会 ― の数は爆発的に増加しました。
2025年版は明示的に症状よりも根本原因を優先します。以前のバージョンはこれらを混在させることがありました ― 「機密データの露出」は何が起きたかを説明しますが、なぜは説明しません。2025年フレームワークは問います:どの根本的な弱点が結果を可能にしたか?これはセキュリティの議論をインシデント対応(「データが露出した」)から防止(「暗号化が誤設定されていた」)へと移します。実践者にとって、これは個別の現れを扱うのではなく、根源でカテゴリに対処することを意味します。
セキュリティプログラムへの意味
Software Composition Analysisを実装
サプライチェーンの失敗が現在A03にあるため、依存関係への継続的な可視性が必要です。脆弱なコンポーネントを特定し、悪意あるパッケージを検知し、整合性違反でアラートするSCAツールを導入します。
構成管理を優先
Security Misconfigurationの第2位への躍進は注意を要します。構成ベースラインを実装し、コンプライアンスチェックを自動化し、構成ドリフトをセキュリティインシデントとして扱います。
アクセス制御テストを強化
318,000以上の発生数を持つ第1位のBroken Access Controlは、アクセス制御モデルの厳格なテストを必要とします。自動認可テストを実装し、すべてのエンドポイントを検証します。
エラー処理パターンをレビュー
新しい例外条件カテゴリは、アプリケーションがどう失敗するかのレビューを必要とします。情報漏洩についてエラー処理を監査し、「フェイルクローズ」動作を検証し、競合状態をテストします。
トレーニング教材を更新
開発者トレーニングが依然としてインジェクションを第1リスクとして強調している場合、更新してください。アクセス制御、構成、新カテゴリにトレーニングをフォーカスします。
WAAPルールを2025カテゴリに整合
Webアプリケーションファイアウォールルールセットがすべての2025カテゴリに対処することを確保します。インジェクションに最適化されたレガシールールセットは、アクセス制御や構成ミスの検知を過小評価する可能性があります。
OWASP Top 10:2025全体にわたるTR7保護
Broken Access Control
きめ細かなアクセス制御ポリシー、BOLA/IDOR検知、SSRF防止、CSRF保護が第1リスクから守ります。
Security Misconfiguration
セキュリティ強化ガイダンス、デフォルト構成アラート、ヘッダー強制が第2リスクの防止に役立ちます。
インジェクション防御
高度なWAAPルールが、行動分析でSQL、NoSQL、OSコマンド、LDAPインジェクションの試行を検知します。
暗号化の強制
現代の暗号スイートを伴うSSL/TLS終端、証明書管理、プロトコル強制。
エラー処理保護
カスタムエラーページ、スタックトレース抑制、エラーベース攻撃の異常検知。
リアルタイム監視
包括的なロギング、アラート、分析がA09コンプライアンスを確保し、すべての攻撃カテゴリへの可視性を提供します。
参考文献と情報源
OWASP Top 10:2025 RC1 - カテゴリ定義、統計、方法論変更の主要情報源。https://owasp.org/Top10/2025/0x00_2025-Introduction/
歴史的バージョンと補足資料を持つ公式プロジェクトページ。https://owasp.org/www-project-top-ten/
新サプライチェーンカテゴリの深掘り。https://eclypsium.com/blog/owasp-top-10-2025-software-supply-chain-risk/
セキュリティをOWASP 2025に整合させる
OWASP Top 10:2025は、Webアプリケーションセキュリティの優先順位付け方法を再形成します。TR7の統合セキュリティプラットフォームは、すべての10カテゴリに対する多層防御を提供します。
WAAP保護を見る