OWASPトップ10 2025：公式リスト、変更点、開発者が知っておくべきこと

#オワスプ

掲載日

2025年11月6日

最終更新日

2026年1月7日

OWASP Top 10 2025が正式に発表され、2つの大きな更新が加わりました。これはソフトウェアセキュリティが、サプライチェーンの完全性やエラー処理といった複雑で相互に関連するリスクへと移行していることを反映しています。開発者とセキュリティチームにとって、アプリケーションの耐障害性を維持するには、これらの変化を理解することが不可欠です。

OWASPは、トップ10が完全な標準ではなく、認知促進文書であることを強調しています。これは最も重大なリスクを浮き彫りにすることを目的としており、完全なセキュリティフレームワークとして機能するものではありません。さらに踏み込んだ対策を検討する組織に対しては、OWASPはSAMM（ソフトウェア保証成熟度モデル）、DSOMM（DevSecOps成熟度モデル）、ASVS（アプリケーションセキュリティ検証基準）などの成熟度および検証モデルの活用を推奨しています。

OWASPトップ10の詳細については、こちらの記事をご覧ください。

2025年版OWASPトップ10の変更点

2025年版では、2つの新カテゴリーと1つの統合が導入されます。

A03: ソフトウェア・サプライチェーンの脆弱性は、2021年のカテゴリー「脆弱かつ旧式のコンポーネント」を拡張し、依存関係、ビルドシステム、配布インフラを含むソフトウェア・エコシステム全体を網羅する。
A10: 例外状態の不適切な処理は完全に新規の課題であり、安全なエラー処理と回復力の重要性を浮き彫りにしています。
‍
A10:2021: サーバーサイドリクエストフォージェリ (SSRF)は、A01:2025 - アクセス制御の欠陥に統合されました。
‍
一方、A01: アクセス制御の不備とA02: セキュリティ設定の不備は依然として上位を占めており、基礎的なセキュリティ対策が依然として重要であることを示している。

要するに、OWASP 2025は、孤立したコードの欠陥から、開発ライフサイクル全体に及ぶ体系的な弱点へと焦点を移す。

OWASP トップ10 2025

以下は、OWASP Top 10 2025の全カテゴリ一覧と、各カテゴリの簡単な概要です。

ランク	カテゴリー	概要
A01:2025	破損したアクセス制御	依然として主要なリスクであり、攻撃者が認証を迂回したり不正アクセスを得たりすることを可能にする欠陥をカバーする。
A02:2025	セキュリティ設定の不備	脆弱なデフォルト設定、公開されたサービス、および環境間でのセキュリティ制御の不整合をカバーします。
A03:2025	ソフトウェア供給網の失敗	依存関係、CI/CDシステム、および配布インフラストラクチャにおける脆弱性を含むように拡大されました。
A04:2025	暗号化の失敗	機密データを危険に晒す、不十分なまたは時代遅れの暗号化手法。
A05:2025	注射	SQLインジェクション、OSインジェクション、テンプレートインジェクションといった古典的な入力検証の脆弱性が、あらゆるスタックで依然として広く見られる。
A06:2025	脆弱な設計	不適切なアーキテクチャ上の決定や脅威モデリングの欠如によって生じるリスク。
A07:2025	認証失敗	ログインフローの問題、脆弱なパスワードポリシー、または不正アクセスにつながるセッション処理の問題。
A08:2025	ソフトウェアまたはデータの完全性の欠如	コードやデータが改変または改ざんされる可能性のある欠陥。更新メカニズムやパイプラインで発生することが多い。
A09:2025	ログ記録とアラート通知の失敗	監視やアラートに生じた隙間により、攻撃が検知されないまま進行する。
A10:2025	例外状態の不適切な処理	2025年新機能：障害発生時の安全でないエラー処理とシステムの回復力に焦点を当てています。

A03:2025 – ソフトウェア供給網の障害

OWASP Top 10 2025は、ソフトウェアサプライチェーンの欠陥を現代のソフトウェアセキュリティにおける最も差し迫ったリスクの一つとして強調している。OWASPは現在、悪意のあるパッケージ、侵害されたメンテナ、改ざんされたビルドプロセスを含むソフトウェアエコシステム内のマルウェアを、アプリケーションセキュリティに対する主要な脅威として明示的に指摘している。

これらの攻撃は本番環境で始まることは稀である。開発者のワークステーションから始まる。依存関係を侵害したり、広く使用されているパッケージにマルウェアを注入したりすることで、攻撃者は本質的に信頼されている環境へのアクセス権を獲得できる。一度侵入されると、単一の悪意のある依存関係が、従来のスキャナーをトリガーすることなく、数時間でCIシステム、コンテナ、クラウド環境を移動することが可能である。

Aikido はこの変化を間近で見てきた。2025年を通じて、我々は複数の大規模なサプライチェーン侵害を特定・分析したが、いずれもA03の実践例として明白な事例であった：

Shai Huludは、npmパッケージに潜むステルス型マルウェアキャンペーンであり、推移的依存関係を通じて認証情報やトークンを外部に流出させた。
S1ngularityは、命名衝突と内部ミラーを悪用した依存関係混同攻撃であり、開発者ワークステーションとCIシステムへの侵入を可能にした。
9月のnpmマルウェア感染事件では、chalk、debug、ansi-regexなどの人気ライブラリが改ざんされ、Aikido 侵害をAikido ・報告するまでに数百万回ダウンロードされた。
React-Native-Ariaトロイの木馬は、正規のnpmリリースにリモートアクセスペイロードを挿入したが、Aikido 異常検知により早期に発見された。

これらのインシデント発生時、多くの組織が正確な情報とAikido に頼り、当社の更新情報を活用して被害範囲の特定、依存関係の検証、被害拡大前の対応を実施しました。

OWASPのスコープ拡大は、多くのセキュリティリーダーが既に経験している状況と一致している。Aikido「2026年セキュリティ＆開発におけるAIの現状」レポートによると 、セキュリティリーダーの3人に1人がツール間の連携不足によりリスクを見逃しており、38%が開発またはデプロイメントライフサイクル全体での可視性のギャップを報告している。その結果生じる可視性のギャップを、攻撃者は信頼されたサプライチェーンを通じて悪用する。

Aikido はそのギャップを埋めるAikido 。リアルタイム脅威フィードを提供するAikido 、事前インストールパッケージ検証の「セーフチェーン」、コード・コンテナ・クラウドを横断する統合依存関係グラフにより、チームは脆弱性と実際の危険が交差するポイントを正確に把握できます。Aikido 侵害されたパッケージを検知するAikido 、本番環境に到達する前にそれらをブロックします。

多くの組織にとって、A03はOWASP Top 10 2025の中で最も関連性の高いカテゴリーです。なぜなら、これは現代のソフトウェアが実際に構築され、攻撃される方法を反映しているからです。サプライチェーンは新たな境界線となり、Aikido チームにそれを防御するための可視性、自動化、インテリジェンスAikido 。

A10:2025 – 例外的な状況の誤った取り扱い

最新のカテゴリであるA10: 例外状態の不適切な処理は、システムの失敗に焦点を当てています。不適切なエラー処理、論理的欠陥、および安全でない失敗状態は、いずれも機密データの漏洩やサービス拒否状態を引き起こす可能性があります。

OWASPは、これらの脆弱性の多くが以前は「コード品質の低さ」に分類されていたが、現在では独立したカテゴリーを設けるに値すると指摘している。

よくある問題には以下が含まれます：

機密情報を明かすエラーメッセージ
失敗時にオープン状態を維持する特権処理ロジック
一貫性のない例外処理
未処理のメモリまたは入力エラー

このカテゴリーは、セキュアなソフトウェアが単に攻撃を防ぐだけでなく、問題が発生した際に安全かつ予測可能な方法で失敗することにも関わるという考え方を補強するものである。

OWASPが重視する回復力と安全な失敗は、より広範な文化的問題にも触れている。同じAikido 、開発者とセキュリティチームがセキュアコーディングの実践責任者をめぐって頻繁に対立することを明らかにした。この責任の不明確さは、エラー処理の不整合やテストの不完全さといった、A10が防止を目指す種類の機能不全を招くことが多い。

OWASPはまた、組織がSAMMやDSOMMといったフレームワークを用いてアプリケーションセキュリティプログラムの成熟度を測定することを推奨しています。目的は全ての要件を満たすことではなく、可視性、自動化、一貫性が最大の影響をもたらす領域を特定することにあります。

Aikido どのようにAikido

OWASP Top 10 2025は、ソフトウェア開発のあらゆる層にわたる可視性の必要性を強調しています。Aikido 、コード、依存関係、コンテナ、クラウドインフラストラクチャからのシグナルを統合することで、チームにその明確さをAikido 。

Aikido リアルタイムの脅威インテリジェンスを提供し、侵害されたパッケージやCVEが検出され次第、即座にフラグを立てます。
Safe Chain,Aikidoオープンソースパッケージ検証ツールAikido、インストール前にnpm、yarn、pnpmの依存関係をチェックし、悪意のあるバージョンをブロックします。
統合 依存関係グラフ コード、コンテナ、クラウドを接続し、推移的依存関係が本番システムとどのように相互作用するかを可視化。誤検知を削減し、真の悪用経路を明らかにします。
SBOM生成 は、チームがソフトウェアのサプライチェーン全体を即座に把握することを可能にし、透明性とコンプライアンスを向上させます。
OWASP Top 10 スコアリングは、各カテゴリに対する環境の評価を明確に示し、改善のための実践的なガイダンスを提供します。

Aikido 、OWASP Top 10 2025が指摘するリスクの管理をAikido 、重要な事項に関するコンテキストと、それに基づく自動化アクションを提供します。

現代的なアプリケーションセキュリティプログラムの構築

強固なアプリケーションセキュリティ基盤を構築するため、OWASPはソフトウェアポートフォリオへのリスクベースアプローチの採用、再利用可能なセキュリティ対策とポリシーの作成、全SDLCフェーズへのセキュリティ統合、開発者教育への投資、進捗のメトリクスによる追跡を推奨しています。これらの取り組みを総合することで、セキュア開発が別個のプロセスではなく日常業務の一部となる文化が醸成されます。

なぜOWASP Top 10 2025は依然として重要なのか

OWASPトップ10は、開発チームとセキュリティチームにとって最も価値あるリソースの一つであり続けています。単なるチェックリストではなく、現実世界のリスクがどこで発生しているかを反映したものです。セキュリティプロセスをこれに整合させることで、ソフトウェアサプライチェーンを強化し、コード品質を向上させ、セキュリティを開発の自然な一部にすることができます。測定可能で検証可能な基準を求める組織には、OWASPはトップ10とアプリケーションセキュリティ検証基準（ASVS）の併用を推奨します。ASVSはセキュリティ意識を検証可能な実践手法へと変換します。Aikido OWASP対応状況を自動マッピングし、重大な脆弱性を検知し、迅速な修正を支援することで、このプロセスを容易Aikido

今すぐAikido で環境をスキャンし、自社のスタックがOWASP Top 10 2025に対してどの程度対応できているか、次に注力すべき箇所を確認しましょう。

‍