- OWASP Top 10 2025 の改訂版が公開:サプライチェーンなどの新カテゴリーを追加
- BlueVoyant 年次レポート 2025:世界規模のサプライチェーン侵害と TPRM プログラムの現状
- CISA 2015 の延長はどうなる?2026年1月30日までの短期資金調達法案で復活か?
- CVE データはコミュニティが守るべきもの:現状を分析しながら分散化を提言
============================================================
OWASP Top 10 2025 の改訂版が公開:サプライチェーンなどの新カテゴリーを追加 – 2025/11/10
- OWASP Top 10 2025(第8版)が2025/11/6に公開
- コミュニティ調査から得られた意見と拡張データ分析を反映
- OWASP Top 10:2021 との違い
- 2つの新カテゴリーの追加と他カテゴリーの統合
- 症状ではなく根本原因を適切に表現するように
※ OWASP (Open Web Application Security Project) = ソフトウェアセキュリティの改善に取り組む非営利団体
※ OWASP TOP 10 = Webアプリケーションセキュリティに関するセキュリティの懸念を概説するレポート。3〜4年毎に更新される
| OWASP Top 10:2021 | OWASP Top 10:2025 |
| A01:Broken Access Control | A01:Broken Access Control |
| A02:Cryptographic Failures | A02:Security Misconfiguration |
| A03:Injection | A03:Software Supply Chain Failures |
| A04:Insecure Design | A04:Cryptographic Failures |
| A05:Security Misconfiguration | A05:Injection |
| A06:Vulnerable and Outdated Components | A06:Insecure Design |
| A07:Identification and Authentication Failures | A07:Authentication Failures |
| A08:Software and Data Integrity Failures | A08:Software or Data Integrity Failures |
| A09:Security Logging and Monitoring Failures | A09:Security Logging & Alerting Failures |
| A10:Server Side Request Forgery (SSRF) | A10:Mishandling of Exceptional Conditions |
新カテゴリが2つ追加
- A03:2025 Software Supply Chain Failures (ソフトウェア・サプライチェーンの不備)
- 2021 年版の A06 Vulnerable and Outdated Components を拡張するもの
- 依存関係/ビルドシステム/配布インフラなどの広範なエコシステム・リスクを網羅
- 含まれるCWEは5件。
- テストデータは限定的なものの、コミュニティ内の関心が最も高く、データ内での発生件数は最も少ないが、CVEからの平均的な悪用可能性スコアと影響スコアは最も高い。
- A10:2025 Mishandling of Exceptional Conditions (例外的な状況の誤処理)
- 不適切なエラーハンドリング/ロジック欠陥/安全でない失敗状態(例:異常時に“fail open”)などの24のCWEを包含。
- 例外処理のミスが、機密情報漏えい/DoSなどにつながる点を明確化 。(従来は「コード品質の悪さ」的に分散して扱われがちだった)
- 不適切なエラーハンドリング/ロジック欠陥/安全でない失敗状態(例:異常時に“fail open”)などの24のCWEを包含。
統合・順位の主な変化
- SSRF(A01:2021):Broken Access Control(A01:2025)に統合
- A01は引き続き最重要で、40のCWE、平均3.73%のアプリに影響(テストデータ上)。
- Security Misconfiguration(A02:2025)が2021の5位から2位へ上昇
- 設定が複雑化し、平均3.00%のアプリに影響。
OWASP Top 10 2025 分類方法
- 175,000超のCVEを643のCWEにマッピングしたデータを活用。
- 重要度判断は「出現回数」より有病率(prevalence)を重視(“そのCWEが1件以上あるアプリの割合”を中心に扱う)。
- 今回の分析では、カテゴリ別に 589 の CWE を評価、各カテゴリの平均値である 25 件 (上限 40件) を抽出。これまで過小評価されていたリスクの可視化が進み、過去のデータと現場での知見がバランスよく反映されている。
- コミュニティ調査により、データ上は過少に見えるが現場で重要なリスクの可視性も補正。
- CVSS v2/v3/v4のスコアから“悪用可能性・影響”も参照し、新しいCVSSほど影響(impact)の比重が高くなるなどの変化も反映。
示唆(どう活かすか)
- クラウドネイティブ環境で増えるシステム全体の弱点(サプライチェーン、設定、例外処理など)を重視する、より“先回り”のリストへ。
- アクセス制御の問題は依然として頻出(セキュリティテストの多くで見つかる)なので、DevSecOpsに組み込み、特にサプライチェーン検査と堅牢なエラーハンドリングを優先すべき。
============================================================
BlueVoyant 年次レポート 2025:世界規模のサプライチェーン侵害と TPRM プログラムの現状 – 2025/11/20
- BlueVoyantの最新調査 State of Supply Chain Defense: Annual Global Insights Report 2025 によると、サプライチェーン侵害で悪影響を受けた組織は97%に達し、2024年の81%から大幅増。
- ただし状況が悪化する一方で、企業側の対策も進みつつあり、レポート(2025/11/20公開)は予防・軽減・解決の取り組みが加速していると指摘。
- TPRM(第三者リスク管理)プログラムの成熟が進展
- 45%が第三者(ベンダ等)と協力して是正対応(直接協業23%、解決支援22%)。
- 46%が「成熟したTPRMプログラムがある」と回答。
- サプライチェーンリスクをサイバーセキュリティ課題として扱う動きが強まり、TPRMの管轄がセキュリティ/IT部門に置かれる割合が36%に増加。
- 主要課題:成熟=有効性ではない
- 最大の障害は社内の支持・協力不足で、60%がトップ課題として挙げた。
- 経営層へのセキュリティ報告頻度は低めで、月1回以上は24%に留まり、59%は3〜6か月ごと。
- 取り組みが「リスク低減」よりコンプライアンスのチェックボックス化している傾向:主要ドライバーとしてリスク低減を挙げたのは16%のみ。代わりにサイバー保険要件・契約要件・取締役会の要請が上位。
- たとえ成熟していても、TPRMが全社的リスク管理(ERM)と統合されていないケースがあり、特に金融、製造、防衛、小売などで課題。
- 96%超が第三者エコシステム拡大を予定しているが、可視化・検証・是正対応の能力増強より速いペースでベンダを増やしている点を懸念。
関連:React Server Components の脆弱性 CVE-2025-55182(React2Shell)
- 2025-12-16:React2Shell を悪用する大規模な攻撃:KSwapDoor/ZnDoor などの Linux バックドアを拡散
- 2025-12-15:React2Shell を悪用する PCPcat:CVE-2025-55182/29927 を悪用して59,000+ のサーバを侵害
- 2025-12-09:脆弱性 React2Shell を検出:Burp Suite が CVE-2025-55182/ CVE-2025-66478 に対応
- 2025-12-08:React2Shell の悪用試行の拡大を観測:中国に支援される脅威アクターによる攻撃キャンペーン
- 2025-12-06:React を用いるサービス 215 万件以上が攻撃対象:React2Shell 公開直後から積極的な悪用を確認
- 2025-12-05:React2Shell CVE-2025-55182 対策で問題が発生:Cloudflare がダウンした理由は?
============================================================
CISA 2015 の延長はどうなる?
2026年1月30日までの短期資金調達法案で復活か? – 2025/11/18
2025/09末:CISA 2015が失効
- CISA 2015(サイバーセキュリティ情報共有法)とは
- サイバー脅威情報の共有を促進するために米国で制定された法律
- 正式名称は Cybersecurity Information Sharing Act
- 米国政府機関の CISA(Cybersecurity and Infrastructure Security Agency)とは別物
- サイバー脅威情報の共有を促進するために米国で制定された法律
- 企業や政府機関が脅威インテリジェンスを共有する際の訴訟リスクを軽減する枠組み
- プライバシー侵害/契約違反/独占禁止法/情報漏洩・誤用などのリスクから企業を保護
- 独占禁止法上の責任の免除
- 情報公開法(FOIA)及び州のサンシャイン法に基づく開示義務の免除
- 共有情報に対する営業秘密保護を含む、特権及び保護の継続的適用
- 非連邦機関の商業・財務・専有情報として指定された共有情報の継続的保護
- 連邦当局者との一方的または非公式な連絡を制限する規則からの免除
- 法令に準拠した情報共有活動に対する広範な責任免除
- 2015年に承認され、2025年9月30日に失効予定だった
- 再認可を求める動きがあったものの、議会の合意不成立により失効状態に
- 失効による影響と課題
- 法的保護の消失により、企業が脅威情報を共有する際の訴訟リスクが高まる
- 法的保護が無ければ、企業は脅威インテリジェンスの共有に慎重にならざるをえない
- その結果として、集団的防御が弱体化する
- 政府再開に合わせたつなぎ予算(短期の資金繰り法)で一時的に復活。ただし、この延長は1月末ごろ(記事では1月末まで)に再び期限切れのリスクがある。
2025/11 以降の動向
- 上院議員のGary Peters(民主)とMike Rounds(共和)が、同法の権限を10年間延長する法案(通称 Protecting America from Cyber Threats Act)を提出。
- 2人は「単独法案として通すより、政府予算を本格的に成立させるための大型支出・歳出パッケージに“抱き合わせ”で入れる」ルートを模索している(どのパッケージに載せるかは未確定)。
- Roundsは、法案は超多数の賛成を得られる見込みだと主張(60票超どころか70〜90票超も狙える、という見立て)。
- 一方で、Rand Paul(共和)が難色。背景には、CISA(米サイバー・インフラ安全保障庁)がSNS企業と連携して誤情報対応をした件などをめぐる、政府による言論への関与への疑念がある。
- 2015年法の中核は、民間企業がFBIやNSAなど政府機関と脅威情報を共有する際の法的保護(訴訟・規制上の不利益からの保護)を与え、共有を促進する仕組み。
- Paulは、延長を2年に短縮し、さらに企業の共有を後押ししている重要条項(法的保護・インセンティブ)を削る案を主張しており、Rounds側は「それだと法案が成立しにくくなる(実質つぶれる)」と懸念。
- 手続き面でも、上院では単独議員でも採決を引き延ばせる(クロージャー投票などで時間がかかる)ため、Peters/Roundsは時間短縮のためにも大型パッケージ化を狙っている。
関連記事
============================================================
CVE データはコミュニティが守るべきもの:現状を分析しながら分散化を提言 – 2025/11/19
- セキュリティデータ分析者 Jerry Gamblin による問題提起
- CVEエコシステムでは、脆弱性件数が増え続ける一方で、追跡/付加情報/データ維持が追いつかない。仕組みの刷新が必要。
- 2024-02:NVDの遅延が発生:MITRE/NISTが関わる事実上の主要リポジトリ NVDで解析・エンリッチ作業の遅延が発生。
- 過去5年で約155,000件のCVE IDが付与されたが、追加データで分析・拡充されたのは約26%。
- 資金不足による停滞とバックログ:2024年4月に資金不足でNISTがNVDの処理・エンリッチをほぼ停止し、バックログが急増。3か月後に追加資金で再開方針を示したが、「従来のやり方では不十分」と警告。
- 増加ペースが追い越す:NISTは2025年3月19日の更新で、提出数が昨年32%増で、従来の処理レートでは追いつかずバックログが増え続ける見込みだと認めた。
- 要因:CNA (CVE Numbering Authorities) の増加:現在357以上。単一組織が全CNAと密に連携して処理するのが限界に近い。
- CISAの予算/人員削減:2026年予算案で決定。
- KEV カタログの更新頻度や精度への影響懸念。
- インフラ支援・訓練・分析など、防衛の現場機能の縮小リスク。
欧州の動向
- 2025-05:NIST が LEV(Likely Exploited Vulnerabilities)を発表
- 2025-04
- EUのサイバーセキュリティ機関ENISAがEUVDを設立
- ルクセンブルクCIRCLが GCVE (Global CVE Allocation System)を発表
- NIS2 指令に基づき立ち上げた脆弱性データベース
- 2024年にEUで正式採択された製品安全性に関する新しい規則
- 提案:分散型の検証・エンリッチ・保管:世界に分散した形で、報告の精査、データ拡充、保管を行う“分散システム”の方向性を提唱。Gamblinは個人プロジェクト(RogoLabs)として可視化サイト CVE.icu も運営し、2025年は“完全にエンリッチされた脆弱性”が十分ではない状況を示している。
- 実務的な第一歩:まずは、記録を公開する企業が自社のデータをできる限り完全な形でエンリッチして出すべき(当事者が最も詳しいため)。
- 重要な前提:分散化しても、最終的には各脆弱性に対して単一のグローバル一意識別子と、共通の標準フォーマット(“中央のCVE標準”)を維持するのが望ましい。
- スタンス:現時点で完成した実装計画を提示するというより、「分散化すると何が可能か」を議論し、依存している組織が声を上げるきっかけにしたい、という“提案・喚起”に近い内容。
SIGNALから配信中のレポート/Newsについて
- 2024年2月NVD遅延/CNA増加によるCVE発行件数の増加から
- 周辺情報の収集+レポート作成フローの見直し
- ベンダ情報/VulDBなどのDBを参照してレポートを作成
- NVDも今年の中頃から遅延が緩和の傾向?ベンダ情報を掲載するように
IoT OT Security News 
You must be logged in to post a comment.