Open Worldwide Application Security Project(OWASP)は、2025年版のアプリケーションリスクのトップ10カテゴリを発表しました。これは2021年以来初のリストです。調査によると、アクセス制御の不備が依然として最大の問題であり、セキュリティ設定ミスが強力な2位、そしてソフトウェアサプライチェーンの問題も依然として目立っています。
このアップデートは、同団体のGlobal AppSec USAイベントで発表されました。リストは最終版ですが、公式の解説はプレビュー段階であると、OWASPトップ10の共同リーダーであるNeil Smithline氏とTanya Janca氏は述べています。
彼らによると、このトップ10は「組織が優先順位をつけるためのデータ駆動型の啓発ドキュメント」です。組織やアンケート回答者からのデータに基づいています。
2021年と2025年のOWASPトップ10アプリケーションリスクの変化
これらのカテゴリは必然的に厳密ではなく、2025年版で更新されました。ソフトウェアサプライチェーンの失敗が新たに追加され、「脆弱で古いコンポーネント」に取って代わりました。サーバーサイドリクエストフォージェリ(SSRF)はアクセス制御の不備と統合されました。また、「例外的な状況の誤処理」という新しいカテゴリも追加されました。
Smithline氏とJanca氏によれば、アクセス制御の不備は「ウェブアプリ、API、その他多くのデジタルシステムにとって間違いなくナンバーワンのカテゴリ」です。これはテストされたアプリケーションの3.73%に影響しています。このカテゴリのエラーには、URLの改ざんによるアクセス制御の回避、アクセス制御が欠如したAPI、一般ユーザーによる特権ページのURL推測、または最小権限の原則の違反などが含まれます。
「公開リソースを除き、デフォルトで拒否する」ことが予防のための最重要アドバイスです。
セキュリティ設定ミスは2位であり、クラウドやインフラストラクチャのセキュリティにおいてはトップになるだろうとSmithline氏とJanca氏は発表で述べました。OWASPによれば、セキュリティを他の方法よりも設定に依存するというエンジニアリングの傾向がリスト上昇の要因です。
サプライチェーンの失敗は発生件数が比較的少ないにもかかわらず3位となっています。OWASPによれば、この種の問題は「CVE(共通脆弱性識別子)からの平均的な悪用および影響スコアが最も高い」ためです。
インジェクションは、最もテストされているカテゴリの一つであることから、3位から5位に下がりました。インジェクションの問題にはSQLインジェクションやクロスサイトスクリプティングが含まれます。
LLM(大規模言語モデル)およびGen AIアプリケーション向けのトップ10リスクを扱う別のOWASPプロジェクトでは、プロンプトインジェクション(プロンプト入力を通じてモデルの応答が操作され、セキュリティチェックを回避される)が最も高いリスクとされています。
「例外的な状況の誤処理」という新しいカテゴリは、コミュニティからのフィードバックをもとに追加されました。これには、レースコンディション、未完了トランザクションへの攻撃、エラーメッセージでの機密情報漏洩など、異常な状況に正しく対応しないコードが含まれます。
「当初は『コード品質の低さ』をカテゴリとして検討していましたが、それは範囲が広すぎます。そして、どうやってそれを修正するのか?どんなアドバイスができるのか?…『あなたのコードは悪い、もっと良くしなさい』では全く役に立ちません」とJanca氏はRedditで述べています。
OWASPはアプリケーションセキュリティ向上のための多くの有益なアドバイスを提供していますが、実際に進展はあるのでしょうか?「セキュリティを巡る状況は5年前、10年前、15年前、20年前と変わっていない」と、新しいトップ10に対してある開発者が不満を述べていますが、ツールによってより多くの問題が特定されていることは認めています。
また別の人は中小企業の視点から、安全なコーディングは依然として「後回しにされがち」であり、経営陣は何か悪いことが起こるまで新機能の方に関心が向きがちで、その時にはもう手遅れだと述べています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/11/new_owasp_top_ten_broken/
