著者: Arthur Hicken
Open Web Application Security Project(OWASP)は、トレーニングやフォーラムを通じて、重要なIT問題に解決策を提供するための支援を続けてきました。この記事を通して読めば、Webアプリケーションにとって急務のOWASP Top 10:2025対応にあたって知っておくべきことがわかるでしょう。
要点
- リリース: OWASP Top 10:2025は、2025年11月にワシントンD.C.で開催されたOWASP Global AppSec Conferenceで発表されました。最終版のリリースは2026年1月です。
- 前版: OWASP Top 10:2021
- 変更点: 2つの新規カテゴリ(「ソフトウェアサプライチェーンの不備」と「例外的な状況への不適切な対応」)、4つの大きな順位変動、3つの名称変更に加え、SSRFが「アクセス制御の不備」に吸収されました。
- リストの背景データ: 175,000件以上のCVEが分析され、248のCWEが10のカテゴリにマッピングされたほか、数千の組織の実務者を対象として調査が実施されました。
2025年11月、OWASP FoundationはワシントンD.C.で開催されたGlobal AppSec Conferenceにおいて、2021年以来の更新となる「OWASP Top 10:2025」を発表しました。今回の更新は、4年間の脅威データの蓄積、実務者の意見、業界の変化を反映したものです。
アプリケーションの安全性を保つ責任を負う開発チームやセキュリティチームにとって、2025年版のリストは単なる更新ではありません。攻撃の対象となり、防御が必要な領域に有意な変化が起きていることを示しています。
本記事では、2025年版リストで何が変更されたのか、なぜその変更が重要なのか、開発チームやセキュリティチームはどう対応するべきなのかについて説明します。開発者、セキュリティエンジニア、エンジニアリングリーダーなど、すべての関係者にとって、2025年版の更新を理解することは重要です。これは、最新のアプリケーションセキュリティ対応に不可欠な作業であり、 あらゆるOWASPコンプライアンス施策の基盤です。
OWASP Top 10とは?
OWASP Top 10は、Open Web Application Security Project(OWASP)が発表している、広く認知された啓発文書であり、Webアプリケーションにとって最も重大な10のセキュリティリスクを挙げたものです。
このリストは、現実のデータと世界中のセキュリティ専門家のコンセンサスに基づいており、開発者、セキュリティチーム、組織が、最も一般的で危険なアプリケーションの脆弱性を理解し、優先順位を付け、対処するための業界標準として認知されています。
このリストは、およそ2~4年ごとに更新され、2025年版が最新です。この版は、アクセス制御の不備、暗号化の不備、ソフトウェアサプライチェーンの問題などのリスクに焦点を当て、チームが事後的なパッチ適用から予防的なリスク主導型のセキュリティ対策に移行するのに役立ちます。
OWASPはどのようにして2025年版リストを作成したか
2025年版リストは、以前のどの版よりも大規模かつ厳密なデータセットに基づいて作成されました。OWASPは、175,000件以上のCVE記録を分析し、数千の組織の実務者を対象とした調査を実施し、セキュリティベンダー、バグ報奨金プログラム、コミュニティ参加者からの意見を取り入れました。
10のカテゴリはそれぞれ特定のCWEに対応するようになり、合計で248のCWEが関連付けられています。そのため、以前の版に比べて、問題の検出と修正のためのより正確なガイドとして役立ちます。
順位は次の条件を反映しています。
- 一般性 脆弱性がどの程度よく見られるか
- 深刻度 悪用された場合の潜在的な影響
2つのカテゴリが廃止または他のカテゴリと統合されました。2つのまったく新しいカテゴリが追加されました。
変更内容: 2021年版 → 2025年版の早わかり
次の表は、2021年版と2025年版の対応を示しています。表のとおり、2025年版では2つのカテゴリが新設されました。また、2021年版のカテゴリの1つ(SSRF)がA01に吸収されました。
OWASP Top 10:2021年版~2025年版: 早わかり比較表
| 順位 | OWASP Top 10:2021 | OWASP Top 10:2025 | 変更 |
|---|---|---|---|
| #1 | アクセス制御の不備 | アクセス制御の不備 | 変更なし |
| #2 | 暗号化の不備 | セキュリティ設定の不備 | ↑ 5位からランクアップ |
| #3 | インジェクション | ソフトウェアサプライチェーンの不備 | ★ 新規 |
| #4 | 安全性を欠いた設計 | 暗号化の不備 | ↓ 2位からランクダウン |
| #5 | セキュリティ設定の不備 | インジェクション | ↓ 3位からランクダウン |
| #6 | 脆弱で古くなったコンポーネント | 安全性を欠いた設計 | ↓ 4位からランクダウン |
| #7 | 識別と認証の失敗 | 認証の不備 | 名称変更 |
| #8 | ソフトウェアとデータの整合性の不具合 | ソフトウェアまたはデータの完全性の不備 | ささいな名称変更 |
| #9 | セキュリティログとモニタリングの失敗 | セキュリティログとアラートの不備 | 名称変更 |
| #10 | サーバーサイドリクエストフォージェリ(SSRF) | 例外的な状況への不適切な対応 | ★ 新規 / SSRF → A01 |
★ 2025年版では2つのカテゴリが新設されました。SSRF(A10:2021)は、「A01:2025 アクセス制御の不備」に吸収されました。
「機微な情報の露出」はどこへ行ったのか?
「機微な情報の露出」は、OWASP Top 10:2017のリストで使用されていた名称です。2021年の更新で、OWASPはこれを「暗号化の不備」と改め、症状ではなく根本的な原因—つまり脆弱な暗号化、あるいは暗号化されていないこと—をより明確に認識できるようにしました。
2025年版のリストでは、「暗号化の不備」は4位と、依然として上位のリスクとしてランクインしています。2021年版の2位からはランクダウンしていますが、これはTLSの採用が進み、業界全体でデフォルトの暗号スイートが強化されたことを反映しています。現在のスコープ、CWE マッピング、および修正の指針については、下の「A04:2025 – 暗号化の不備」セクションを参照してください。
2つの新規カテゴリの説明
2025年版のリストに追加された最も重要な要素は、2つのまったく新しいカテゴリです。これらは新たに発見された脆弱性クラスではありません。セキュリティ関連コミュニティの総意として、重要性が高まったために、より広いカテゴリの一部のままでは不適切だと判断された攻撃面を表しています。
A03:2025 ソフトウェアサプライチェーンの不備
新規追加の理由
SolarWindsへの攻撃、Log4Shell、そして急増する依存関係かく乱攻撃(dependency confusion attack)は、アプリケーションを直接攻撃するよりも、サプライチェーンを侵害するほうが容易である場合が多いことを実証しました。
「ソフトウェアサプライチェーンの不備」は、現在のアプリケーションが依存するコンポーネント、ライブラリ、ビルドツール、配布メカニズム自体が侵害されたり、信頼できない場合に発生するリスクを取り上げています。開発者が作成したコードの欠陥に着目する従来の脆弱性カテゴリとは異なり、このカテゴリは、ビルドに入り込むあらゆるものの完全性に着目します。
このカテゴリは5つのCWEに対応し、次のようなシナリオを含みます:信頼されていない、またはタイプミスを狙った紛らわしいレジストリをソースとするパッケージ、整合性検証のないビルドパイプライン、未署名または未検証の成果物、内部パッケージ名が公開レジストリのエントリによってハイジャックされる依存関係かく乱攻撃。
必要な対処
ソフトウェア部品表(SBOM)生成をすべてのビルドに導入します。成果物の署名と検証を必須にします。依存関係の固定機能を使用し、紛らわしいスペルのレジストリを監視します。CI/CDパイプラインの権限を監査し、ビルドやデプロイのトリガーとなるものを制限します。
A10:2025 例外的な状況への不適切な対応
新規追加の理由
OWASPの調査回答者の50%が、この問題をセキュリティ上の新たな懸念事項の第1位に挙げていますが、通常の運用ではなく高い負荷の下で顕在化する問題であるため、CVEデータベースにはほとんど記録がありません。
例外的な状況への不適切な対応は、長らく過小評価されてきた脆弱性クラスを表しています。つまり、アプリケーションが予想されていなかった事態に遭遇したときに起こる問題です。リソースの枯渇、不正な入力、タイムアウト、下流のサービス障害—こういったシナリオを安全に処理できないアプリケーションは、詳細なエラーメッセージによって機密データを公開したり、フェイルオープンロジックによってアクセス制御を迂回したり、サービス拒否攻撃を媒介したりする可能性があります。
このカテゴリには、CWE-209(機密情報を含むエラーメッセージの生成)、CWE-476(NULLポインターの間接参照)、CWE-636(安全に失敗しない)を含む24のCWEがまとめられています。このような欠陥は、通常のテスト実行には含まれない条件でのみ顕在化するため、標準的なSASTスキャンやDASTスキャンでは見つからないことがよくあります。
必要な対処
システム境界ごとに明示的な故障モードを定義します。内部的にはエラーの詳細な状況を記録し、外部には一般的なメッセージのみを返す、一元化された例外処理フレームワークを実装します。ハッピーパスのシナリオだけでなく、高負荷やフォールトインジェクションの条件下でテストします。フェイルクローズの原則を適用し、疑わしい場合はアクセスを拒否します。
大きな順位変動
2つのカテゴリが追加されたほかに、4つの既存カテゴリが大きく順位を変えました。この動きは、データが示す脅威の状況―つまり、どのような状況で攻撃が成功しているかが変化している現実を反映しています。
A02:2025 セキュリティ設定の不備 ↑ #5 → #2
「セキュリティ設定の不備」は一挙に3つ順位を上げて2位に着け、2025年版のリストで最も大きな上昇となりました。この上昇は、クラウドインフラストラクチャ、コンテナ化されたワークロード、マイクロサービスアーキテクチャの劇的な拡大を反映しています。これらはいずれも、導入によって新しく設定が必要になりますが、設定の防御が強化されていないケースが多くあります。
重要である理由
クラウドの設定ミスは、依然として企業データ漏洩の主因の1つです。Infrastructure-As-Codeと自動プロビジョニングが標準になった今では、設定ミスが知らないうちに何百ものリソースに伝播する可能性があります。
20件のCWEが包括されています。代表的な例:デフォルトの認証情報が変更されないままになっている、不要な機能が有効になっている、セキュリティヘッダーがない、クラウドストレージポリシーが過度に寛容である、本番環境で詳細なエラーメッセージが表示されるなど。
A03:2025 ソフトウェアサプライチェーンの不備
上のセクションを参照してください。
A05:2025 インジェクション ↓ #3 → #5
「インジェクション」は2つ順位を下げています—かつては長い間1位を保っていましたが、ここ何版かで順位を下げ続けています。これは業界のまぎれもない進歩を反映しています。パラメータ化されたクエリーは今や標準であり、最新のフレームワークはデフォルトで入力をサニタイズし、SQLインジェクションに対する開発者の意識はほぼ普遍的なものとなっています。それでも依然としてこのカテゴリは非常に危険であり、OWASPのデータセットでは、検出された欠陥のうち274,000件に該当しています。
重要である理由
順位が下がったことで自己満足に陥ってはいけません。インジェクションは依然として、アクティブな攻撃で悪用される頻度が最も高い脆弱性の1つです。この減少は、攻撃側の関心が低下したのではなく、上流での予防策が改善されたことを反映しています。
33件のCWEが包括されています。主な例: SQLインジェクション(CWE-89)、クロスサイトスクリプティング(CWE-79)、OSコマンドインジェクション(CWE-78)。
A04:2025 暗号化の不備 ↓ #2 → #4
「暗号化の不備」は2位から4位に下落しています。これは、TLSのデフォルト採用、暗号スイート標準の強化、およびこのカテゴリ(根本原因をより明確にするために2021年に「機微な情報の露出」から改名されました)が広く認識されたことを反映しています。しかし、重大なリスクであることに変わりはありません—順位の下落は進歩を表していますが、問題が完全に解決されたわけではありません。
重要である理由
相変わらず、脆弱な暗号、あるいは暗号化されていないことが記録的な大規模データ漏洩の根底にあります。このカテゴリには、暗号化アルゴリズムの選択だけでなく、鍵の管理方法、証明書の取り扱い、データ転送中の保護も含まれます。
29件のCWEが包括されています。主な例:脆弱なアルゴリズムの選択、ハードコードされた鍵、HSTSの欠如、平文での機密データの送信。
名前が変更されたカテゴリ: 名前付けが重要な理由
2025年には3つのカテゴリの名称が変更されました。名称の変更は表面的なものではありません—変更のたびに問題の定義が鮮明になるほか、重要な点として、ツールがルールをどのカテゴリにマッピングするかにも影響します。
A07: 識別と認証の失敗 → 認証の不備
名称が短くなったのは、認証メカニズム(認証情報の処理、セッション管理、多要素認証のギャップ)に真正面から取り組むため、「識別」という語を削除したからです。これにより、カテゴリとマッピングされるCWEがより正確に一致します。
A08: ソフトウェアとデータの整合性の不具合 → ソフトウェアまたはデータの完全性の不備
「と」が「または」に変わったのは、ささいですが意味のある変更です。ソフトウェアの完全性とデータの完全性は独立した懸念事項であり、どちらか一方が損なわれれば、このカテゴリの脆弱性が発生するのに十分であることを明確にしています。これは、カテゴリ名を適用範囲に使用するツールやコンプライアンスフレームワークにとって重要です。
A09: セキュリティログとモニタリングの失敗 → セキュリティログとアラートの不備
積極的なアラートとインシデント対応を伴わない受動的なロギングでは不十分であることを強調するため、「モニタリング」が「アラート」に置き換えられました。異常が発生した時に誰も警告されなかったなら、すべてを記録していても攻撃を見逃すことがあり得ます。
変わらなかった項目とそれが重要である理由
「アクセス制御の不備」は、4 回連続で1位を維持し、最も広く存在するアプリケーションセキュリティとして不動の地位を固めています。2025年のアップデートでは、カバーするCWEが34から40に拡大され、中でも、これまで独自のカテゴリであったSSRF(Server-Side Request Forgery)が吸収されました。OWASPは、SSRFを別個のクラスではなく、不適切なアクセス制御の症状の1つとして認識しており、これはクラウド環境でこの2つがしばしば同時に悪用されることを反映しています。
「アクセス制御の不備」が1位を維持しているのは、この問題を業界が解決できていないことを示しています。認証ロジックは、大きな規模においては依然として適切に行うのが最も難しい処理の1つであり、攻撃者にとって最も収穫の大きいターゲットの1つです。
セキュリティ対策における2025年版の意味
2025年版のリストは単なる参考資料ではありません—優先順位を付けるためのフレームワークです。以下は、さまざまな役職がこのアップデートをどのように解釈するべきかを示しています。
開発者
「ソフトウェアサプライチェーンの不備」がトップ3に入ったことは、セキュアコーディングが自分で書いたコードだけにとどまらないことを意味します。依存関係の証明性、完全性、信頼性は、明示的に対処すべき対象になっています。依存関係の管理方法を見直し、CI/CDパイプラインが暗黙のうちに何を信頼しているかを理解し、ビルド成果物の完全性を入力検証と同じ厳密さで扱いましょう。
セキュリティエンジニア
以前はグレーゾーンにあった2つのカテゴリ(サプライチェーンの完全性と例外処理)に、明確なOWASPの定義、CWEマッピング、コミュニティ文書が存在するようになりました。これは、カバレッジ要件を形式化し、静的解析ツールのルール設定を更新し、以前は標準化されていなかったテスト基準を構築するための言語とフレームワークを提供します。
エンジニアリングマネージャーおよびリーダー
「セキュリティ設定の不備」が2位に上昇したのは、ここにリソースを割くべきだというシグナルです。大規模なクラウドインフラを運用しているにもかかわらず、構成管理、Policy-As-Code、インフラのセキュリティ対策ツールに相応の投資を行っていないなら、そこにリスクが集中していることを2025年のデータが示唆しています。同様に、新しい「例外的な状況への不適切な対応」カテゴリは、テスト戦略に通常の条件下での機能テストやセキュリティテストだけでなく、フォールトインジェクションやカオスエンジニアリングの実践も含める必要があることを示しています。
ParasoftはどのようにOWASP Top 10:2025コンプライアンスをサポートしているか
Parasoftの静的解析ツールC/C++test、Jtest、dotTESTは、OWASP Top 10:2025の分類を反映するように更新されています。各製品には、2つの新しいカテゴリを含む2025年版のカテゴリに解析ルールを直接マッピングする、設定済みのコンプライアンスパックが同梱されています。
※ JtestのOWASP Top 10:2025対応の日本語版は、2026年8月頃のリリースを予定しています。
ルール適用範囲を2025年版に合わせて更新
2025年のリリースでは、2つの新しいカテゴリが導入され、他の8つのカテゴリが再編されています。Parasoftのコンプライアンスパックには、これらの変更が自動的に反映されています。これまでA10:2021(SSRF)にマッピングされていたルールはA01:2025(アクセス制御の不備)にマッピングされ、新しいルールセットは「ソフトウェアサプライチェーンの不備」と「例外的な条件への不適切な対応」をカバーしています。
AIによるトリアージと自動修正
リストの新版に対応すると、最初に大量の指摘が表面化する可能性があります。ParasoftのAIを活用したトリアージは、悪用可能性、重大性、コードのコンテキストに基づいて、チームが最初に対処すべき違反の優先順位を決定するのに役立ちます。サポートされているルールタイプでは、自動修正提案機能により手作業による修正作業が軽減され、開発者はIDEを離れることなく修正内容を確認し、受け入れることができます。
プロジェクト横断的なコンプライアンスの可視化
複数のコードベースや言語を運用する組織では、Parasoft DTP(Development Testing Platform)を使用することで、すべてのプロジェクトのOWASPコンプライアンスを一元的に把握できます。チームは2025年版リストに対する対応状況を追跡し、ポートフォリオ全体でどのカテゴリが最もリスクに曝されているかを特定し、OWASPカテゴリIDとCWEのマッピングに直接関連付けられたコンプライアンスレポートを作成できます。
シフトレフト統合
ParasoftはIDE環境およびCI/CDパイプラインに統合され、コードが変更されるたびにリアルタイムのフィードバックを返すことができます。開発者は、コードをコミットする前に、OWASP のカテゴリ違反(どの 2025 カテゴリが適用されるかを含む)をインラインで確認できます。このアプローチは、修正に最もコストがかからない時点で問題を捕捉し、下流のセキュリティレビュー段階でのコンプライアンスの負担を軽減します。
2025年版への対応を始めるには
すでにOWASP Top 10:2021 へのコンプライアンスプロセスを導入済みの組織にとっては、2025年版への移行は困難ではありませんが、単にドキュメントのバージョン番号を更新するだけでなく、計画的なアクションが必要です。ゼロから始めるチーム向けには、こちらの記事「guide to getting started with OWASP compliance」で、以下に説明する2025年版特有のアップデートの前に実施するべき基本的なプラクティスを説明しています。
2つの新規カテゴリへの対応を始める
A03(ソフトウェアサプライチェーンの不備)とA10(例外的な状況への不適切な対応)には、直接対応するものが2021年版にありません。それぞれについて、現在の対応状況を評価しましょう。
- 静的解析のコンフィギュレーションには、サプライチェーンの完全性に関するルールが含まれていますか?
- テストスイートには、フォールトインジェクションのシナリオが含まれていますか?
ツールコンフィギュレーションの更新
静的アプリケーションセキュリティテスト (SAST)を実施している場合、2025年版のカテゴリマッピングを反映するように更新されているかを確認してください。A10:2021(SSRF)にマッピングされていたルールは、A01:2025に再マッピングし、サプライチェーンおよび例外処理に関する新しいルールを有効化する必要があります。
トレーニング資料の再確認
OWASP Top 10に関する開発者向けセキュリティトレーニングの更新が必要です。順位の変更は重要であり、トレーニング内容の優先順位にも影響します。開発者は、サプライチェーンの不備がもはや二次的な問題ではなく、トップ3に入る懸念事項であることを理解する必要があります。
安定したカテゴリを軽視しない
4回連続で1位になった「アクセス制御の不備」は、バックグラウンドノイズではなく、継続的に解消されていない問題領域です。一貫して1位にランクされていることを考慮して、設計レビュー、脅威のモデル化、テストの労力をどこに集中させるかを判断するべきです。
よくある質問
OWASP Top 10の更新頻度は?
おおよそ3年から4年に1度です。これまでの版は 2003、2004、2007、2010、2013、2017、2021、2025です。進捗は、コミュニティのデータ収集サイクルや脅威の状況の大きな変化に左右されます。
OWASP Top 10:2025 はどこでダウンロードできますか?
OWASP Top 10:2025の全文は、owasp.org/Top10/2025/ でHTML形式とPDF形式で無料公開されています。また、OWASPは翻訳版や、カテゴリごとのCWEへのマッピングと修正ガイダンスを含む詳細な説明ページも公開しています。
OWASP Top 10:2025 の日本語版はどこにありますか?
OWASP Japan ChapterによるOWASP Top 10:2025の日本語翻訳版は https://github.com/owasp-ja/Top10/blob/master/2025/docs/ja/index.md で公開されています。
※ 翻訳にあたり、日本語版について質問を追加しています。
OWASP Top 10:2025にマッピングされているCWEはいくつありますか?
2025年版では248個の共通脆弱性タイプ(Common Weakness Enumerations)が10のカテゴリにマッピングされており、2021年版の218個から増加しています。「アクセス制御の不備」(A01)は、これ1つに40個のCWEがマッピングされる最大のカテゴリです。
OWASP Top 10:2025でPCI DSS、SOC 2、HIPAAの要件を満たせますか?
OWASP Top 10への準拠を自動的に規格への準拠とみなす規格はありません。しかし、PCI DSS 4.0(要件 6.2.4)、SOC 2 のセキュア開発基準、および HIPAA の技術的なセーフガードは、すべてOWASP Top 10への対応をセキュアコーディングの実践を証明するものとして認めています。OWASP Top 10:2025は、単独ですべてを管理するものではなく、基盤となるレイヤーとみなすべきです。
OWASP API Security Top 10はOWASP Top 10とどう違うのですか?
OWASP API Security Top 10は、BOLA(Broken Object Level Authorization)や大量割り当てのようなAPI固有のリスクに焦点を当てています。標準的なOWASP Top 10は、インジェクションやXSSのような、より広範なWebアプリケーションの脆弱性をカバーしています。この2つは、OWASPの別個のコミュニティが独立したリリースサイクルで管理している別個のリストです。
モバイルアプリケーション向けのOWASP Top 10はありますか?
はい。OWASP Mobile Top 10は、安全でないデータストレージ、脆弱な暗号、安全でない通信といったモバイル特有のリスクに焦点を当てたリストです。Webアプリケーション向けの「Top 10:2025」とは別に管理されており、最終更新は2024年です。
(この記事は、開発元Parasoft社 Blog「OWASP Top 10 2025: What Changed & New Vulnerabilities」2026年5月15日の翻訳記事です。※ 翻訳にあたり、一部リンクの更新および補足を追加しています)
Parasoft Jtestについて
Jtestは、テスト工数の大幅削減とセキュアで高品質なJavaシステムの開発を強力にサポートするJava対応テストツールです。4,000個以上のコーディング規約をもとにソースコードを静的に解析し、プログラムの問題点や処理フローに潜む検出困難なエラーを検出します。さらに、JUnitを用いた単体テストについて、作成、実行、テストカバレッジ分析、テスト資産の管理といった単体テストに係る作業をサポートし、単体テストの効率化を促進します。