前回は、大きな話題となった「アサヒグループホールディングスのランサムウェア被害」について取り上げてきました。
企業の影響力も大きいことから、様々な面で影響が出続けている状態は知っておくべき事象です。ご興味のある方は、ぜひご覧ください。
今回は、OWASP Top 10について見ていきます。
OWASP Top 10とは?
2025年11月6日、世界中のWebセキュリティ関係者が注目するOWASP(Open Web Application Security Project)から、「OWASP Top 10 2025」の改訂版が公開されました(※1)。コミュニティからのフィードバックの後に、正式版がリリースされる予定です。この最新版では、Webアプリケーションに潜む脅威の順位に大きな変動があり、特に「セキュリティ設定ミス(Security Misconfiguration)」が5位から2位へと3ランク急上昇したことが業界に衝撃を与えています。
そもそもOWASP Top 10は、Webアプリケーションにおける最も深刻なセキュリティリスクを10項目にまとめた世界標準のドキュメントです。開発者、セキュリティ担当者、経営層まで、Webサイトやアプリケーションに関わるすべての人が注目している情報の1つです。今回の2025年版では、280万以上のアプリケーションから収集されたデータに基づき、589種類のCWE(Common Weakness Enumeration:共通脆弱性タイプ)が分析されました。
(※1)https://owasp.org/Top10/2025/0x00_2025-Introduction/
2025年 改訂版の注目ポイント
ここからは、1位からどんなセキュリティリスクが上位にランキングされているのかを見ていきます。
1位:アクセス制御の不備(Broken Access Control)
2021年版に引き続き、トップの座となりました。調査対象のアプリケーションのうち平均3.73%でこの脆弱性が検出されています。適切な権限チェックが実装されていないことによって、本来アクセスできないはずのデータや機能にユーザーが到達できてしまうという、最も深刻な問題です。
例えば、一般ユーザーが管理者機能にアクセスできてしまったり、他人の個人情報を閲覧できてしまったりといった事態が発生します。
2位:セキュリティ設定ミス(Security Misconfiguration)
ドキュメントを見ていると、今回最大の変化がこれです。5位から2位へとランク上昇しました。調査対象アプリケーションの3.00%で検出されており、ソフトウェアエンジニアリングにおいて設定に依存する処理が増加していることが背景にあります。クラウドサービス、コンテナ、マイクロサービスといった現代のアーキテクチャでは、設定項目がかなり増加しており、デフォルトパスワードの放置、不要なサービスの有効化、エラーメッセージでの機密情報の露出など、ひとつの設定ミスが重大なセキュリティホールになりかねません。
3位:ソフトウェアサプライチェーンの失敗(Software Supply Chain Failures)
新たにランクインしたこの項目は、NPMパッケージ、オープンソースライブラリ、ビルドシステムなど、開発のエコシステム全体に潜むリスクを包括的に扱っています。CVE(共通脆弱性識別子)スコアでは最も高い攻撃可能性と影響度を示しました。近年、Log4jの脆弱性やNPMパッケージへの悪意のあるコード混入事件など、サプライチェーン攻撃が現実の脅威となっています。
4位:暗号化の失敗(Cryptographic Failures)
2位から4位へと2ランク下降しましたが、依然として重要なリスクです。調査対象の3.80%のアプリケーションで検出されており、不適切な暗号化アルゴリズムの使用、暗号化キーの管理不備、通信の暗号化欠如などが該当します。個人情報や機密データの漏えいに直結する問題です。
5位:インジェクション(Injection)
SQLインジェクション、クロスサイトスクリプティング(XSS)、コマンドインジェクションなど、古典的ながら依然として猛威を振るう攻撃手法です。3位から5位へと順位を下げましたが、これは脅威が減ったわけではなく、他のリスクが相対的に増加したことを意味しています。38種類のCWEを含む広範なカテゴリーで、テスト対象となる頻度が最も高く、関連するCVEの数も最多です。
10位:例外条件の誤処理(Mishandling of Exceptional Conditions)
もうひとつの新規カテゴリーです。エラーハンドリングの不備、論理エラー、フェイルオープン(安全側への失敗ではなく、危険側に開放されてしまう設計)など、24種類のCWEが含まれます。システムが想定外の状況に遭遇したとき適切にエラーを処理せず、機密情報を含むエラーメッセージを表示したり、セキュリティ機能をバイパスしてしまったり、といった問題が起こり得ます。
なぜ今、体系的な学習が必要なのか?
2025年版のOWASP Top 10を見ると、脆弱性の種類が多様化し、相互に関連し合っているように見えます。これからは単に「SQLインジェクションを防ぐ」「XSSを防ぐ」といった個別対策だけでは不十分で、アクセス制御、設定管理、サプライチェーン、暗号化、エラーハンドリングといった広範な知識が求められる時代になりました。
さらに、国内のセキュリティインシデントは増加の一途を辿っています。2025年上半期だけで過去最多の1,027件を記録し、ランサムウェア攻撃や不正アクセスによる被害が続発しています。保険業界では約510万件、人材派遣業界では14万件超の個人情報漏えい事件が発生し、企業の信用失墜と経済的損失は計り知れません。
こうした状況下で、エンジニアやディレクター、DX担当者に求められるのは、「根本原因」を理解する力です。OWASP Top 10も、可能な限り「症状」ではなく「根本原因」に焦点を当てるように刷新されました。表面的なパッチワークではなく、脆弱性が生まれるメカニズムから対策まで、体系的に学ぶ必要があると思っています。
体系的にWebセキュリティを学ぶ方法として、資格取得を目標にすることは非常に有効です。学習の指針が明確になるだけでなく、組織内でのスキルの可視化や、キャリアアップにも直結します。
Webセキュリティ分野では、徳丸本と呼ばれている「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」を主教材とした試験が、実務に直結する内容として高い評価を得ています。この試験は基礎レベルと実務レベルの2段階で構成され、アクセス制御、インジェクション、認証、セッション管理、暗号化といったWebセキュリティの広範な知識が問われます。
徳丸本は、Webセキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
徳丸浩のWebセキュリティ教室
【徳丸試験】
ウェブ・セキュリティ基礎試験(徳丸基礎試験)
ウェブ・セキュリティ実務知識試験(徳丸実務試験)
