2025年11月、Webアプリケーションセキュリティの業界標準「OWASP Top 10」の最新版が公開されました。
前回の2021年版から約4年が経過し、サプライチェーン攻撃の急増やクラウド環境の複雑化など、脅威の状況は大きく変化しています。本記事では、OWASP Top 10 2025の全カテゴリーと、2021年版からの主要な変更点を詳しく解説します。
OWASPとは?
OWASPとは「Open Worldwide Application Security Project」の略称で、Webアプリケーションセキュリティの向上を目的とする非営利コミュニティです。
2001年に設立され、世界中のセキュリティ専門家や開発者がボランティアベースで活動しています。脆弱性診断ツールやセキュリティ検証標準など、さまざまなリソースを無償で提供しています。
中でもOWASP Top 10は、Webアプリケーションにおける重大なセキュリティリスクをまとめた成果物として、世界中の企業や政府機関で参照されています。
OWASP Top 10とは何か
OWASP Top 10は、Webアプリケーションにおける最も重大な10のセキュリティリスクをランキング形式でまとめたドキュメントです。技術の進化や攻撃手法の変化、新たな脆弱性の発見に対応するため、3〜4年ごとに更新されています。
2025年版は280万以上のアプリケーションから収集したデータと、13の貢献組織から提供された情報をもとに作成されました。米国政府や欧州各国の政府機関をはじめ、金融・医療・IT業界など幅広い分野でセキュリティ標準やコンプライアンスのベースラインとして採用されており、業界標準としての地位を確立しています。
OWASP Top 10が重要な理由
Forrester Researchの調査によると、56%の企業がアプリケーション関連の脆弱性による侵害を経験しており、アプリケーション層が企業にとって主要な攻撃対象となっていることがわかります。
OWASP Top 10がセキュリティ対策の優先順位付けに欠かせない理由は、以下の3つです。
- 限られたリソースで最大の効果を得られる
- 監査やコンプライアンス対応のベースラインとなる
- 開発者教育の標準教材として活用できる
日本でも金融庁のサイバーセキュリティガイドラインや経済産業省のセキュリティ対策指針でOWASPが参照されており、国内企業にとっても無視できない存在となっています。
OWASP Top 10 2025とは
OWASP Top 10 2025は、2025年11月6日にRelease Candidate 1(RC1)が公開され、2026年初頭に正式版のリリースが予定されています。2003年の初版から数えて8回目の更新となり、過去最大規模のデータ収集が行われました。
本バージョンでは248のCWE(共通脆弱性タイプ一覧)を10のリスクカテゴリーに分類し、インシデント率・悪用容易性・影響度の3要素で評価しています。また、データ分析に加えてセキュリティ専門家へのコミュニティ調査も反映されており、客観的なデータと実務者の知見の両方を取り入れた標準となっています。
2021年版からの主要変更点
OWASP Top 10 2025では、2021年版から大きな変更が加えられています。主要な変更点を見ていきましょう。
2021年版と2025年版を比較
2021年版と2025年版の主な順位変動は、下表のとおりです。
| 順位 | 2021年版 | 2025年版 |
|---|---|---|
| A02 | Cryptographic Failures | Security Misconfiguration(↑5位から) |
| A04 | Insecure Design | Cryptographic Failures(↓2位から) |
| A05 | Security Misconfiguration | Injection(↓3位から) |
| A10 | Server-Side Request Forgery | Mishandling of Exceptional Conditions(新規) |
注目すべき変更点は4つあります。まず、「セキュリティ設定ミス」が5位から2位へ急上昇しました。次に、「暗号化の失敗」が2位から4位へ、「インジェクション」が3位から5位へそれぞれ下降しています。
また、A10には新規カテゴリー「例外条件の不適切な処理」が追加されました。インジェクションや暗号化の失敗の順位降下は、業界全体で対策が進んでいることの表れと言えるでしょう。
順位変動の要因
この順位変動には3つの要因があります。
- サプライチェーン攻撃の急増
ソフトウェアの開発や配布の過程を狙った攻撃が増え、多くの企業が被害を受けている - クラウド環境の複雑化
設定項目が増えたことで、設定ミスが起きやすくなった - 障害時の安全性への注目
エラー発生時の対処が新たなリスク領域として認識されるようになった
このように、セキュリティの視点はコード単体から、システム全体へと広がっています。
OWASP Top 10 2025の全カテゴリー解説
ここからは、OWASP Top 10 2025の各カテゴリーについて詳しく解説します。
A01 – Broken Access Control(アクセス制御の不備)
アクセス制御の不備は、2021年版に続き1位を維持しています。SSRFの統合により対象範囲も拡大しました。具体例としては、URLパラメータを変更して他ユーザーのデータを閲覧する攻撃や、一般ユーザーが管理者機能にアクセスする権限昇格などがあります。
対策としては、サーバー側での権限チェックの徹底と、必要最小限の権限のみを付与する設計が重要となります。
A02 – Security Misconfiguration(セキュリティ設定ミス)
5位から2位へ急上昇したのがセキュリティ設定ミスです。クラウド環境の普及で設定項目が増え、ミスが発生しやすくなったことが背景にあります。
実際に、設定ミスによる大規模な情報漏えい事例も報告されています。クラウドストレージの公開設定や初期パスワードの放置など、基本的な見落としが重大な被害につながるため、定期的な設定監査が欠かせません。
A03 – Software Supply Chain Failures(サプライチェーンの失敗)
2025年版で最も注目すべきカテゴリーのひとつです。2021年版の「脆弱なコンポーネント」から範囲が大幅に拡大し、外部ライブラリだけでなく開発・配布プロセス全体のリスクを対象としています。
信頼されていたソフトウェアへのバックドア混入など、供給網を狙った攻撃が増加しており、ソフトウェア構成の管理と配布元の信頼性確認が重要となります。
サプライチェーン攻撃への対策については、以下の記事で詳しく解説しています。あわせてお読みください。
A04 – Cryptographic Failures(暗号化の失敗)
2位から4位へ順位を下げましたが、依然として注意が必要なカテゴリーです。順位低下の背景には、無料でSSL証明書を取得できるサービスの普及や、最新フレームワークでの暗号化機能の標準搭載があります。
ただし、古い暗号化方式の使用や暗号鍵をソースコードに直接記述するケースは今も見られるため、最新方式の採用と暗号鍵の適切な管理が求められます。
A05 – Injection(インジェクション)
長年トップ3に君臨していたインジェクションですが、2025年版では5位に後退しました。最新のフレームワークが対策機能を標準で備えるようになったためです。
ただし、レガシーシステムや、AIへの不正な指示を送り込むプロンプトインジェクションなど新たな形態も登場しています。入力値の検証やWAFの導入といった基本的な対策が引き続き重要です。
SQLインジェクションについては、以下の記事で詳しく解説しています。あわせてお読みください
SQLインジェクションとは? 攻撃の仕組みや被害例、対策方法を解説
A06 – Insecure Design(安全が確認されない不安な設計)
2021年版で追加されたカテゴリーで、設計段階でのセキュリティ欠陥を指します。たとえば、ログイン試行回数に制限がなければ総当たり攻撃を防げません。
また、決済処理の順序を飛ばせる設計では、支払いなしで購入が完了してしまいます。後から修正するには大きなコストがかかるため、開発の初期段階からセキュリティを考慮した設計を行うことが不可欠です。
A07 – Authentication Failures(認証の失敗)
セッション管理を外部に委託する企業が増え、全体的には改善傾向にあります。しかし、自社で認証機能を開発する場合にはリスクが残ります。
単純なパスワードの許可や多要素認証の未導入がよくある問題であり、パスワードポリシーの強化と多要素認証の導入が基本的な対策となります。
A08 – Software or Data Integrity Failures(ソフトウェア/データ完全性の失敗)
8位を維持しているカテゴリーです。A03のサプライチェーンが外部からの供給に焦点を当てるのに対し、A08は自社環境内でのソフトウェアやデータの改ざん検知に焦点を当てています。
署名のないアップデートの受け入れや、外部スクリプトの改ざん検知漏れなどが該当します。署名検証の実施と、信頼できる配布元からのみ取得することが有効な対策となります。
A09 – Logging & Alerting Failures(ログ・アラートの失敗)
9位を維持していますが、2025年版では名称に「Alerting」が追加されました。ログを記録するだけでなく、異常を検知して通知する仕組みの重要性が高まっているためです。
ランサムウェアの侵入に数週間も気づかれなかったケースも報告されています。重要な操作のログ記録、ログの改ざん防止、リアルタイムでの異常検知と通知の整備が求められます。
サイバー攻撃のリアルタイム可視化ツールについては、以下の記事で詳しく解説しています。あわせてお読みください。
サイバー攻撃リアルタイム可視化ツールとは?おすすめや注意点を解説
A10 – Mishandling of Exceptional Conditions(例外条件の不適切な処理)
2025年版で新たに追加されたカテゴリーです。セキュリティ専門家への調査で50%が最優先の懸念事項として挙げたことから採用されました。
エラー画面にシステムの内部情報が表示される、エラー時にセキュリティチェックがスキップされるといった問題が該当します。エラー発生時には必要最小限の情報のみを表示し、安全側に倒す設計が重要となります。
まとめ
OWASP Top 10 2025では、近年の脅威動向を反映した変更が加えられ、セキュリティ対策の優先順位を見直す上で、重要な指針となるでしょう。これらの脅威からWebアプリケーションを守るには、WAF(Web Application Firewall)の導入が効果的です。
「Cloudbric WAF+」は、インジェクションやアクセス制御の不備など、OWASP Top 10で指摘される主要な脅威に対応したクラウド型WAFです。また、AWS環境をご利用の場合は、OWASP Top 10のルールセットを含む「Cloudbric WMS」もご検討ください。
自社のセキュリティ強化をお考えの方は、ぜひお気軽にお問い合わせください。