OWASP Top 10
概要
OWASP(Open Worldwide Application Security Project)はWebセキュリティに関するガイドラインやツールを無償で公開する国際的な非営利団体である。Top 10は2003年に初版が公開され、その後数年おきに改訂されている。最新版は2025年版で、実際の脆弱性データ、CVE情報、セキュリティ専門家のアンケートをもとに構成されている。
2025年版のTop 10
2025年版の10項目は以下の通りである。1位はアクセス制御の不備で、認可されていない操作が実行できてしまう問題を指す。2位はセキュリティの設定ミスで、クラウド利用などで複雑化する一方の設定項目を把握・管理しきれず、誤った設定が放置されて脆弱性となってしまった状態である。
3位はソフトウェア製品のサプライチェーンリスクで、システムを構成する要素の一部として依存している外部のモジュールやライブラリなどが攻撃者に改竄され、知らぬ間にマルウェアを仕込まれてしまう攻撃である。4位は暗号化の失敗で、機密データが適切に保護されていない状態である。
5位はインジェクション型攻撃で、SQLインジェクションやOSコマンドインジェクションなどが含まれる。6位は安全でない設計、7位は認証の失敗、8位はソフトウェアとデータの整合性の不備、9位はセキュリティログとアラート(警告)の失敗、10位は例外的な状況の不適切な処理である。
掲載内容と活用方法
各項目は単なる名称だけでなく、具体的なリスクの内容、攻撃手法の概要、影響範囲、対策方法などが解説されている。更新のたびに項目の構成や分類が見直され、新たな脅威や技術動向が反映される。このリストは主にWebアプリケーション開発工程の中で参照され、設計段階から実装、テストに至るまでのセキュリティ対策に利用される。教育用途としても利用され、セキュリティの基礎知識を学ぶ資料として参照される。
共有ボタンをタップ