OWASP Top 10 2025が発表：アプリケーションセキュリティの脅威が進化

Open Web Application Security Project (OWASP) は、アプリケーションセキュリティリスクの最も影響力のあるリストである「OWASP Top 10」の第8版、2025年版を正式に発表しました。この更新は、アプリケーションセキュリティの脅威の進化する状況を反映した大幅な変更を特徴としており、2つの新しいセキュリティカテゴリの導入と、提供されたデータとコミュニティのフィードバックに基づいたリスクランキングの重要なシフトが含まれています。

主要な追加カテゴリ：サプライチェーンと例外処理

2025年版では、特に注目すべき2つの新しいカテゴリが導入されました。

• A03: ソフトウェアサプライチェーンの障害 (Software Supply Chain Failures): これは、以前の「脆弱で古いコンポーネント」カテゴリから拡張され、ソフトウェアの依存関係エコシステム、ビルドシステム、および配布インフラストラクチャ全体で発生する広範な侵害を網羅しています。近年セキュリティのヘッドラインを飾ったサプライチェーン攻撃への懸念の高まりを反映しています。
• A10: 例外条件の誤った処理 (Mishandling of Exceptional Conditions): この全く新しいカテゴリは、24の共通脆弱性タイプ一覧 (CWE) に対応し、不適切なエラー処理、論理エラー、および異常な条件下でシステムが遭遇する「フェイルオープン」シナリオに焦点を当てています。

ランキングの変動と継続する脅威

既存のカテゴリでは、いくつかの重要なランキングの変動が見られます。

• A01: 破損したアクセス制御 (Broken Access Control) は、テストされたアプリケーションの3.73%に40のCWEのいずれかが含まれているというデータに基づき、引き続き1位を維持しています。
• A02: セキュリティの誤設定 (Security Misconfiguration) は、2021年の5位から2025年には2位へと劇的に上昇し、16のCWEにわたってテストされたアプリケーションの3.00%に影響を与えています。
• 以前上位にランクインしていた脅威は順位を下げました。暗号化の失敗 (Cryptographic Failures) は2位から4位に、インジェクション (Injection) の脆弱性は3位から5位に、安全でない設計 (Insecure Design) は4位から6位にそれぞれ後退しました。これらの順位の低下にもかかわらず、これらのカテゴリは依然として重要なセキュリティ上の懸念事項です。

分析手法とコミュニティの貢献

2025年版のリストは、248カテゴリにわたる589のCWEを分析しており、2021年の約400のCWEから大幅に増加しています。OWASPは、データ駆動型分析とコミュニティからのインプットを組み合わせ、8つのデータに基づいたカテゴリと2つのコミュニティ投票によるカテゴリを使用して、テストではまだ確実に検出できない新たな脅威に対処しました。プロジェクトでは、National Vulnerability DatabaseからCWEにマッピングされた約175,000件のCVEレコードを分析し、CVSSの悪用および影響スコアを組み込んでリスクの深刻度を評価しました。この包括的なアプローチにより、リストはテストデータで確認できる確立された脅威と、セキュリティ実務者によって特定された新たなリスクの両方を捉えています。

まとめ

更新されたOWASP Top 10 2025は、世界中の開発者、セキュリティチーム、組織にとって極めて重要な意識向上文書として機能します。サプライチェーンセキュリティと適切なエラー処理に重点を置くことで、このリストは現代の攻撃ベクトルに対処しつつ、アクセス制御の失敗や誤設定といったアプリケーションを悩ませ続ける永続的な脅威にも焦点を当て続けています。

元記事: https://gbhackers.com/owasp-top-10-2025-released/