OWASP Top 10 2025が正式に発表され、2つの大きな更新がもたらされました。これは、ソフトウェアセキュリティがサプライチェーンの整合性やエラー処理のような複雑で相互接続されたリスクへと移行していることを反映しています。開発者とセキュリティチームにとって、これらの変更を理解することは、アプリケーションの回復力を維持するために不可欠です。
OWASPは、Top 10が完全な標準ではなく、啓発文書であることを強調しています。これは、最も重要なリスクを浮き彫りにすることを目的としており、完全なセキュリティフレームワークとして機能するものではありません。さらに進んだ対策を求める組織に対して、OWASPはSAMM(Software Assurance Maturity Model)、DSOMM(DevSecOps Maturity Model)、ASVS(Application Security Verification Standard)などの成熟度および検証モデルの使用を推奨しています。
OWASP Top 10の詳細については、こちらの記事をご覧ください。
2025年版OWASP Top 10の変更点
2025年版では、2つの新しいカテゴリが導入され、1つの統合が行われました。
- A03: ソフトウェアサプライチェーンの障害は、2021年のカテゴリ「脆弱で古いコンポーネント」を拡張し、依存関係、ビルドシステム、配布インフラストラクチャを含むソフトウェアエコシステム全体をカバーします。
- A10: 例外条件の不適切な処理は全く新しいもので、安全なエラー処理と回復力の重要性を強調しています。
- 以前のA10:2021: Server-Side Request Forgery (SSRF)は、A01:2025 - Broken Access Controlに統合されました。
- 一方で、A01: Broken Access ControlとA02: Security Misconfigurationは引き続き上位にランクインしており、基礎的なセキュリティ対策が依然として重要であることを示しています。
要するに、OWASP 2025は、個別のコードの欠陥から焦点を移し、開発ライフサイクル全体にわたるシステム的な脆弱性に注目しています。
OWASP Top 10 2025
以下に、OWASP Top 10 2025のカテゴリの全リストと、各カテゴリの簡単な概要を示します。
A03:2025 – ソフトウェアサプライチェーンの不備
OWASP Top 10 2025年版では、ソフトウェアサプライチェーンの不備が、現代のソフトウェアセキュリティにおける最も喫緊のリスクの一つとして強調されています。OWASPは現在、悪意のあるパッケージ、侵害されたメンテナー、改ざんされたビルドプロセスなど、ソフトウェアエコシステムにおけるマルウェアを、アプリケーションセキュリティに対する主要な脅威として明確に指摘しています。
これらの攻撃が本番環境で始まることは稀です。開発者のワークステーションで始まります。依存関係を侵害したり、広く使用されているパッケージにマルウェアを注入したりすることで、攻撃者は、本質的に信頼されている環境にアクセスできます。一度侵入すると、単一の悪意のある依存関係が、多くの場合従来のスキャナーをトリガーすることなく、数時間でCIシステム、コンテナ、クラウド環境を通過する可能性があります。
Aikido Security は、この変化を間近で見てきました。2025年を通じて、私たちは最大規模のサプライチェーン侵害のいくつかを特定し、分析しました。それぞれが A03 の実践における明確な例です。
- Shai Huludは、npmパッケージに隠された巧妙なマルウェアキャンペーンであり、推移的依存関係を介して認証情報とトークンを窃取しました。
- S1ngularityは、名前の衝突と内部ミラーを悪用して開発者のワークステーションやCIに侵入した依存関係の混乱攻撃です。
- 9月に発生したnpmマルウェアの発生では、chalk、debug、ansi-regexなどの人気ライブラリが汚染され、Aikidoが侵害を検知してエスカレートするまでに何百万回もダウンロードされました。
- React-Native-Ariaトロイの木馬は、正当なnpmリリースにリモートアクセスペイロードを挿入しましたが、Aikido Intelの異常検知によって早期に発見されました。
これらのインシデント発生時、多くの組織が正確なインテリジェンスとガイダンスを求めてAikidoに頼り、当社のアップデートを活用して、露出を特定し、依存関係を検証し、被害が拡大する前に対処しました。
OWASPのスコープのこの拡大は、多くのセキュリティリーダーが既に経験している状況を反映しています。AikidoのState of AI in Security & Development 2026 レポートによると、セキュリティリーダーの3人に1人がツール間の連携不足によりリスクを見逃しており、38%が開発またはデプロイメントライフサイクル全体での可視性のギャップを報告しています。その結果、攻撃者は信頼されたサプライチェーンを介してエクスプロイトする可視性のギャップが生じています。
Aikidoはそのギャップを埋めるのに役立ちます。Aikido Intelによるライブ脅威フィード、インストール前のパッケージ検証のためのSafe Chain、そしてコード、コンテナ、クラウドにわたる統合された依存関係グラフにより、チームは脆弱性が実際のエクスプロイトとどこで交差するかを正確に把握できます。Aikidoは侵害されたパッケージを検出するだけでなく、プロダクションに到達する前にそれらをブロックします。
多くの組織にとって、A03はOWASP Top 10 2025の中で最も関連性の高いカテゴリです。これは、今日のソフトウェアが実際にどのように構築され、攻撃されているかを反映しているためです。サプライチェーンは新たな境界となり、Aikidoはチームにそれを防御するための可視性、自動化、およびインテリジェンスを提供します。
A10:2025 – 例外処理の不備
最新のカテゴリであるA10: 例外処理の不備は、システムがどのように障害を起こすかに焦点を当てています。不適切なエラー処理、論理的な欠陥、安全でない障害状態はすべて、機密データの漏洩やサービス拒否の状態につながる可能性があります。
OWASPは、これらの脆弱性の多くが以前は「不十分なコード品質」として分類されていたが、今では専用のカテゴリに値すると指摘しています。
一般的な問題には以下が含まれます。
- 機密情報を漏洩するエラーメッセージ
- フェイルオープンする権限処理ロジック
- 一貫性のない例外処理
- 未処理のメモリまたは入力エラー
このカテゴリは、安全なソフトウェアが攻撃を防ぐことだけでなく、問題が発生した際に安全かつ予測可能に障害が発生することの重要性を強調しています。
OWASPがレジリエンスと安全な障害に焦点を当てることは、より広範な文化的問題にも触れています。同様のAikidoレポートでは、開発者とセキュリティチームがセキュアなコーディングプラクティスの責任者について頻繁に意見が対立していることが判明しました。この明確さの欠如は、一貫性のないエラー処理や不完全なテストにつながることが多く、A10が防止を目指す種類の障害を引き起こします。
OWASPはまた、組織がSAMMやDSOMMのようなフレームワークを使用して、アプリケーションセキュリティプログラムの成熟度を測定することを推奨しています。目標はすべての要件を満たすことではなく、可視性、自動化、一貫性が最大の効果を発揮できる箇所を特定することです。
Aikidoがどのように役立つか。
OWASP Top 10 2025は、ソフトウェア開発のあらゆるレイヤーにおける可視性の必要性を強調しています。Aikidoは、コード、依存関係、コンテナ、クラウドインフラストラクチャからのシグナルを統合することで、チームにその明確性を提供します。
- Aikido Intelは、リアルタイムの脅威インテリジェンスを提供し、侵害されたパッケージやCVEが出現するとすぐにフラグを立てます。
- Safe Chain、Aikidoのオープンソースパッケージ検証ツールは、npm、yarn、pnpmの依存関係をインストール前にチェックし、悪意のあるバージョンをブロックします。
- 統合された依存関係グラフは、コード、コンテナ、クラウドを接続し、推移的依存関係が本番システムとどのように相互作用するかを示し、誤検知を削減し、実際のエクスプロイトパスを明らかにします。
- SBOM生成は、チームがソフトウェアサプライチェーン全体を即座に把握し、透明性とコンプライアンスを向上させるのに役立ちます。
- OWASP Top 10 スコアリングは、各カテゴリに対して環境がどのように評価されるかを明確に示し、改善のための実践的なガイダンスを提供します。
Aikidoは、OWASP Top 10 2025が指摘するリスクを管理するのに役立ち、何が重要かについてのコンテキストと、それに対応するための自動化を提供します。
最新のアプリケーションセキュリティプログラムの構築
強固なAppSec基盤を確立するためには、OWASPはソフトウェアポートフォリオに対してリスクベースのアプローチを取り、再利用可能なセキュリティ制御とポリシーを作成し、SDLCのあらゆるフェーズにセキュリティを統合し、開発者教育に投資し、メトリクスで進捗を追跡することを推奨しています。これらのステップを組み合わせることで、セキュリティ開発が個別のプロセスではなく日常業務の一部となる文化が構築されます。
OWASP Top 10 2025が今も重要である理由
OWASP Top 10は、開発チームとセキュリティチームにとって最も価値のあるリソースの一つであり続けています。これは単なるチェックリストではなく、現実世界でリスクがどこから発生しているかを反映したものです。これにセキュリティプロセスを合わせることで、ソフトウェアサプライチェーンを強化し、コード品質を向上させ、セキュリティを開発の自然な一部にすることができます。測定可能でテスト可能な標準を求める組織に対して、OWASPはTop 10とApplication Security Verification Standard (ASVS) を組み合わせることを推奨しています。ASVSは、認識を検証可能なセキュリティプラクティスへと変換します。Aikidoは、OWASPカバレッジを自動的にマッピングし、重大な脆弱性を検出し、より迅速に修正を支援することで、それを容易にします。
今すぐAikido Securityで環境をスキャンして、スタックがOWASP Top 10 2025に対してどの程度であるか、そして次にどこに焦点を当てるべきかを確認してください。
