OWASP Top 10 2025 – Revised Version Released With Two New Categories
2025/11/10 CyberSecurityNews — Open Web Application Security Project (OWASP) が発表したのは、主力プロジェクト “OWASP Top 10 2025” の最新候補版である。今回の第8版は、進化するソフトウェア・セキュリティ脅威に対応するための大幅な更新が施されている。2025年11月6日に公開された改訂版は、コミュニティ調査から得られた意見と拡張データ分析を反映し、2つの新カテゴリーの追加と他カテゴリーの統合により、症状ではなく根本原因を適切に表現するようになった。このリストは、Web アプリケーションのリスク優先順位付けを行う開発者/セキュリティ専門家/組織にとって依然として重要なリソースである。
OWASP Top 10 2025 の主な変更点
以下の図 (クリックで拡大) が示すように、2025年版 Top 10 には Software Supply Chain Failures (A03:2025) および、Mishandling of Exceptional Conditions (A10:2025) の項目が新たに追加されている。
Software Supply Chain Failures (A03:2025) は、2021年の Vulnerable and Outdated Components を拡張するものであり、依存関係/ビルドシステム/配布インフラなどの、より広範なエコシステム・リスクを網羅している。
このカテゴリーには、コミュニティで最も懸念される5つの共通脆弱性分類 (CWE) が含まれている。テスト・データは限られているが、脆弱性の悪用や影響の大きさを浮き彫りにしている。
Broken Access Control (A01:2025) には、不適切なエラー処理/論理的欠陥/異常状態での安全でない失敗などに焦点を当てる 24種類の CWE が導入された。これまでにおいて、それらのカテゴリーは “コード品質の低さ” に分散していた。しかし、2025年版では、例外処理の不備による機密データの漏洩やサービス拒否攻撃などの問題を含むようになった。
Server-Side Request Forgery (SSRF:A10:2021) は、Broken Access Control (A01:2025) に統合された。テスト対象アプリケーションに対して 40 の CWE が、平均で 3.73 % に影響を与えたことで、トップの座を維持している。
その他の変化として、Security Misconfiguration (A05:2021) が2位に上昇した。コンフィグの複雑化に伴い、影響を受けるアプリケーションは 3.00 % に達している。
Cryptographic Failures (A04:2025) は4位に下落し、Injection (A05:2025) と Insecure Design (A06:2025) も順位を2つ下げた。さらに、Authentication Failures (A07:2025) は名称を微調整し、Logging & Alerting Failures (A09:2025) は単なる監視ではなく、実用的なアラートを強調している。
| Rank | Category Code | Name | Summary | Change from 2021 |
|---|---|---|---|---|
| 1 | A01:2025 | Broken Access Control | Flaws allowing attackers to bypass authorization or gain unauthorized access to data or functions. Includes 40 CWEs, affecting 3.73% of tested applications on average. | Maintains #1; SSRF (A10:2021) consolidated into this category. |
| 2 | A02:2025 | Security Misconfiguration | Weak default settings, exposed services, or inconsistent security controls across environments. Impacts 3.00% of applications. | Moved up from #5 due to increased configuration complexity. |
| 3 | A03:2025 | Software Supply Chain Failures | Vulnerabilities in dependencies, CI/CD systems, build processes, and distribution infrastructure. Covers 5 CWEs with high exploit scores. | New; expands A06:2021 Vulnerable and Outdated Components. |
| 4 | A04:2025 | Cryptographic Failures | Insecure or outdated encryption practices leading to sensitive data exposure or system compromise. Includes 32 CWEs, affecting 3.80% of apps. | Dropped from #2. |
| 5 | A05:2025 | Injection | Input validation flaws like SQL, OS command, or XSS injections. Associated with 38 CWEs and numerous CVEs. | Dropped from #3. |
| 6 | A06:2025 | Insecure Design | Risks from poor architectural decisions or inadequate threat modeling during design. | Dropped from #4; shows industry improvements in secure design. |
| 7 | A07:2025 | Authentication Failures | Issues in login, password policies, or session handling enabling unauthorized access. Covers 36 CWEs. | Maintains #7; renamed from Identification and Authentication Failures. |
| 8 | A08:2025 | Software or Data Integrity Failures | Failures to verify integrity of software, code, or data, allowing tampering. Focuses on lower-level trust boundaries. | Maintains #8; minor focus on integrity verification. |
| 9 | A09:2025 | Logging & Alerting Failures | Gaps in monitoring, logging, or alerting that let attacks go undetected. | Maintains #9; renamed to emphasize alerting over just logging. |
| 10 | A10:2025 | Mishandling of Exceptional Conditions | Improper error handling, logical flaws, or insecure failure states exposing data or causing DoS. Includes 24 CWEs. | New category; previously under poor code quality. |
これらの変化は、以下のように視覚的なマッピング図で示されている。Server-Side Request Forgery (SSRF) や Vulnerable and Outdated Components などは、2021年の順位から 2025年の順位へと上向きの矢印で示されているが、その名称は変化している。
OWASP Top 10 2025 分類方法
OWASP のアプローチは、175,000 件を超える CVE を 643 の CWE にマッピングし、頻度よりも優勢さを重視している。具体的に言うと、少なくとも1件の悪用事例がある CWE に焦点を当てている。
今回の分析では、カテゴリ別に 589 の CWE を評価し、各カテゴリの平均値である 25 件 (上限 40件) を抽出している。コミュニティでの調査により、これまで過小評価されていたリスクの可視化が進み、過去のデータと現場での知見がバランスよく反映されている。
さらに、悪用可能性と影響度のスコアは CVSS v2/v3/v4 から抽出され、新バージョンでは影響度が重視されるという傾向が明らかになった。その結果として、現代のクラウド・ネイティブ環境におけるシステム的な脆弱性に焦点を当てる、先見的なリストが完成した。
このアップデートで確認できるのは、脅威モデリングなどの分野の成熟と、Insecure Design (A06:2025) の下落が示す改善の状況である。
10 件中 9 件のセキュリティ・テストで発見されるアクセス制御などの課題には、依然として細心の注意が必要である。ユーザー組織として必要なことは、これらを DevSecOps プロセスに組み込み、サプライチェーン・チェックと強固なエラー処理を優先することだ。
OWASP は 2025年11月20日まで、フィードバックを受け付けており、2026年の正式採用前に最終版がさらに洗練される見込みである。
この Top-10 リストは、組織における対策の指針を示すだけではなく、設計段階からの Secure-by-Design の推進と、複雑化する脅威環境を乗り切る推進力にも成り得る。
今回の更新により OWASP Top 10 は、単なる脆弱性の一覧ではなく、問題の根本原因を示す構成に変化しました。特に、新設された Software Supply Chain Failures と Mishandling of Exceptional Conditions は、開発や運用の過程で見過ごされがちなリスクを示しています。依存関係やビルド環境の不備、例外処理の甘さといった基本設計の問題が、深刻な脆弱性につながることが明確になりました。よろしければ、OWASP Top 10 で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.