オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)は、Webアプリケーションに対する重大なリスクのトップ10リストを改訂し、2つの新しいカテゴリを追加し、全体のリスト順を入れ替えました。
この2025年リリース候補版は、OWASP Top 10リストのほぼ最終草案であり、11月20日までコメントを受け付けています。
Broken Access Control(アクセス制御の不備)は、2021年にトップに立って以来、2025年版OWASP Top 10リストでも首位を維持しています。Broken Access Controlカテゴリには、以前は別枠で10位だったサーバーサイドリクエストフォージェリ(SSRF)が統合されました。
Security Misconfiguration(セキュリティ設定ミス)は、2021年版OWASP Top 10の5位から2位に上昇し、続いてSoftware Supply Chain Failures(ソフトウェアサプライチェーンの失敗)が続きます。これは、以前6位だったVulnerable and Outdated Components(脆弱または古いコンポーネント)の拡張版です。
拡張されたこのカテゴリには、「ソフトウェア依存関係、ビルドシステム、配布インフラ全体または横断的に発生する、より広範な侵害」が含まれるとOWASPは述べており、コミュニティ調査で最重要課題として浮上したことを指摘しています。
Cryptographic Failures(暗号化の失敗)、Injection(インジェクション、XSSやSQLインジェクションを含む)、Insecure Design(安全でない設計)は、それぞれ2つ順位を下げ、現在は4位、5位、6位となっています。
Authentication Failures(認証の失敗)、Software or Data Integrity Failures(ソフトウェアまたはデータの完全性の失敗)、Logging & Alerting Failures(ログ記録およびアラートの失敗)は、2021年版OWASP Top 10での7位、8位、9位を維持しています。
新たにリストに加わったのはMishandling of Exceptional Conditions(例外条件の誤処理)カテゴリで、現在10位です。これには、フェイルオープン、不適切なエラーハンドリング、論理エラー、その他システムが遭遇する異常状態に関連するシナリオが含まれます。
OWASPによると、今回のリストのいくつかのカテゴリは2021年と比べて変更されており、主にアプローチがやや異なるためです。
「今回の改訂では、2021年版のようなCWEの制限を設けずにデータを求めました。特定の年(2021年以降)にテストされたアプリケーション数と、テストで少なくとも1つのCWEが発見されたアプリケーション数を尋ねました。この形式により、各CWEがアプリケーション全体でどれほど普及しているかを追跡できます」とOWASPは説明しています。
同団体は根本原因に注目し、同一アプリケーション内でのCWEの頻度は無視し、分析には589個のCWEを使用しました。これは2017年の30個、2021年の約400個と比べて大幅に増加しています。
「今後、追加のデータ分析を補足として行う予定です。CWE数の大幅な増加により、カテゴリの構造を変更する必要が生じています」とOWASPは述べています。
ただし、チームはExploitability(悪用可能性)と(技術的)Impact(影響)についてCVEデータを使用し、CVEをCWEごとにCVSSスコアでグループ化し、CVSSv3およびCVSSv2スコアを持つアプリケーションの割合を見て、平均的な悪用および影響スコアを算出しました。
自動テストの限界により、このデータからは8つのカテゴリのみが選択されており、不完全と見なされています。残りの2つのカテゴリは、実務者が最も高いリスクと考えるものに投票するTop 10コミュニティ調査から選ばれています。
翻訳元: https://www.securityweek.com/two-new-web-application-risk-categories-added-to-owasp-top-10/
