Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > OWASP Top 10 2025:サプライチェーン攻撃、クラウド設定ミス、そして変わらない脆弱性リスト

OWASP Top 10 2025:サプライチェーン攻撃、クラウド設定ミス、そして変わらない脆弱性リスト

by Patrick Spencer updated 2月 25, 2026 サイバーセキュリティー・リスク管理
Reading Time: 7 minutes

OWASP Top 10は、アプリケーションセキュリティ分野における健康診断のような存在です。3〜4年ごとに、Open Worldwide Application Security Projectがテスト機関やセキュリティベンダーから実際の脆弱性データを収集し、実務者コミュニティへのアンケート結果と組み合わせて、最も重大なWebアプリケーションセキュリティリスクをランキング形式で発表します。

2025年版が登場しました。約17万5,000件のCVEレコードと280万近いアプリケーションの分析、さらに221名のセキュリティ専門家への調査に基づき、重要な変化を遂げた部分と、ほとんど変わっていない部分が明らかになりました。

ソフトウェアサプライチェーンの障害が3位に初登場。セキュリティの設定ミスは5位から2位へと急上昇。例外的な状況の誤処理が10位にランクイン。AI生成コードのリスクは「今後の課題」セクションに記載。そして、アクセス制御の不備が22年連続で1位を維持しています。

5つの重要なポイント

  1. アクセス制御の不備は2003年からトップ。 アクセス制御の不備は、20年以上前にOWASP Top 10が初めて公開されて以来、常に1位を維持しています。テストされたアプリケーションの平均3.73%が、このカテゴリーにマッピングされる40のCWEのいずれか1つ以上を持っていました。組織はエラーが発生しやすく、テストが不十分で、特権昇格経路が散在するカスタムアクセス制御メカニズムを作り続けています。最も重大なWebアプリケーション脆弱性が22年間も解消されていないということは、業界全体に構造的な問題があることを示しています。パッチの問題ではありません。
  2. ソフトウェアサプライチェーンの障害が3位に初登場。 最大の構造的変化は、ソフトウェアサプライチェーンの障害が3位にランクインしたことです。これは従来の「脆弱または古いコンポーネント」カテゴリーを置き換え、オープンソースライブラリの侵害、ベンダーアップデート機構の突破、CI/CDパイプラインの改ざん、開発者ワークステーションへの直接攻撃など、ソフトウェアサプライチェーン全体への攻撃をカバーします。OWASPのリード著者Tanya Janca氏は「開発者が多くのオンライン攻撃の主要な標的になっている」と述べています。
  3. セキュリティの設定ミスが5位から2位へ急上昇。 クラウドの普及により、設定ミスは広範かつ壊滅的な脆弱性となりました。デフォルトの認証情報が変更されていない、公開されているクラウドストレージバケット、不要な機能が有効のままになっているなどは日常茶飯事です。データ内のすべてのテスト済みアプリケーションで何らかの設定ミスが見つかりました。これは一部のリスクではなく、ほぼすべての組織に共通するリスクです。
  4. AI生成コードのリスクがOWASPの注目を集める。 AIはトップ10入りしませんでしたが、「今後の課題」セクションで言及されました。「AI生成コードへの不適切な信頼」と題され、俗に「バイブコーディング」問題とも呼ばれるこのカテゴリーは、開発者がAI生成コードを十分にレビューせずに出荷している現状を認めています。今後、AI生成コードのリスクがトップ10に加わる流れは明らかです。
  5. 2つの新カテゴリーが根本原因へのシフトを反映。 2025年版では、3位にソフトウェアサプライチェーンの障害、10位に例外的な状況の誤処理が新設されました。SSRFはアクセス制御の不備に統合されました。これらの変更は、OWASPが症状ではなく根本原因の特定に意図的にシフトしていること、そして安全なソフトウェアは障害時にも安全であるべきという認識を示しています。

アクセス制御の不備:22年連続で1位

アクセス制御の不備は、なくならない脆弱性です。現在、40のCWEにマッピングされており、特権昇格、不適切な直接オブジェクト参照、CORSの設定ミス、トークンの改ざんなどをカバーします。SSRFも統合され、多くのSSRF脆弱性が本質的にアクセス制御の問題であるという見解が反映されています。

OWASP Top 10の生みの親であるJeff Williams氏は、その根強さについて「誰もが独自の認証やアクセス制御メカニズムを作ろうとする」と説明しています。典型的なWebアプリケーションには、20の異なるロールでアクセス可能な100のエンドポイントがあるかもしれません。「多くの人は1つのロールだけを想定してアプリケーションをスキャンしますが、検証は非常に困難です」とWilliams氏は述べています。

この問題から得られる教訓は厳しいものです。業界が解決できていない問題なのです。カスタムアクセス制御メカニズムに依存する組織は、テスト済みかつ目的別に作られたRBACやABACのようなフレームワークを採用せず、ゼロから作り続けてきたため、20年以上も続くリスクを受け継いでいるのです。

自社のセキュリティ、信じていますか?本当に検証できていますか

Read Now

セキュリティの設定ミスが2位に上昇

セキュリティの設定ミスが5位から2位に急上昇した理由は、クラウドの普及によってシステムの設定項目が劇的に増え、「設定ミス」の機会も増えたためです。

このカテゴリーには、デフォルト認証情報が変更されていない、不要な機能が有効のまま、システム構成を明かす冗長なエラーメッセージ、公開状態のクラウドストレージバケットなどが含まれます。これらは高度な攻撃手法ではなく、設定ミスによって攻撃者に「鍵」を渡してしまう事例です。

クラウド環境が複雑化し、複数のプロバイダーやリージョン、サービスにまたがることで、設定ミスのリスクも拡大しています。組織は、設定管理をセキュリティの一分野と捉え、「セキュア・バイ・デフォルト」の設定、自動検証、認証情報の強制変更を標準とするべきです。

ソフトウェアサプライチェーンの障害が3位に初登場

2025年版で最も重要な構造的変化がこれです。ソフトウェアサプライチェーンの障害は、従来の「脆弱または古いコンポーネント」カテゴリーを置き換え、ビルド、配布、アップデートパイプライン全体をカバーするよう拡大されました。

Tanya Janca氏は「もはや疑わしい依存関係を持つライブラリを含めるだけの問題ではありません」と述べています。現在はIDE、CI/CDパイプライン、プラグイン、リポジトリ、開発者ワークステーションへの攻撃が活発化しています。「ソフトウェアサプライチェーン全体が攻撃者の標的になっています。」

調査対象のセキュリティ専門家の50%が、サプライチェーンリスクを最重要課題として挙げており、これは全カテゴリー中で最も高い一致率です。これらの障害への対策には、SBOM(ソフトウェア部品表)、コード署名、強化されたビルド環境、依存関係の脆弱性スキャン、整合性検証付きの安全なアップデート機構が求められます。

その他の変動と新カテゴリー

暗号化の失敗(4位)は2位から順位を下げましたが、暗号化の問題が減ったわけではなく、他のリスクがより急速に増加したためです。平文での機密データ送信、弱いアルゴリズム、不十分な証明書検証は依然として広く見られます。FIPS認証済み暗号化やTLS 1.3が、現在の防御可能な暗号化の基準となっています。

インジェクション(5位)は徐々に順位を下げています。パラメータ化クエリや出力エンコーディングを備えた最新フレームワークの普及により発生率は低下しましたが、リスクが消えたわけではありません。

設計の不備(6位)はやや順位を下げ、業界の脅威モデリングの改善が反映されています。しかし、開発後にセキュリティを追加しても、もともと安全設計でなければ根本的な解決にはならないことを示しています。

認証の失敗(7位)は、総当たり攻撃、弱いパスワード、露出したセッションID、多要素認証(MFA)の欠如などをカバーします。AIを活用したフィッシングが増加する中、重要な機能にMFAがないことは、ますます許されないギャップとなっています。

ソフトウェアまたはデータの整合性障害(8位)は、未署名のアップデート、未検証のプラグイン、整合性チェックなしで成果物を受け入れるCI/CDパイプラインなど、「検証なき信頼」に焦点を当てています。

セキュリティログとアラートの失敗(9位)は、カテゴリー名に「アラート」が明示的に追加され、重要なアップデートが加えられました。OWASPは「アラートのないログ収集はほとんど価値がない」と明確なメッセージを発信しています。組織は、リアルタイムアラートやSIEM連携と組み合わせた監査ログを活用し、データ収集を実効的な検知へとつなげる必要があります。

例外的な状況の誤処理(10位)は完全な新設カテゴリーです。エラーハンドリングや境界ケースの失敗による情報漏えいやセキュリティバイパスが対象です。OWASPプロジェクトリーダーのBrian Glas氏は、長年トップ10のすぐ外にあったと述べています。「もしデータ主導だけで順位を決めていたら、過去しか見ていないリストになってしまうでしょう。」

「バイブコーディング」への警鐘

AIはトップ10入りしませんでしたが、OWASPの「今後の課題」エントリー「AI生成コードへの不適切な信頼」は、真剣に受け止めるべきシグナルです。

Tanya Janca氏は「AI生成コードが人間の書いたコードよりも明確にリスクを高めているというデータはなかったものの、コミュニティからのフィードバックや専門的経験、オンラインでの事例共有を踏まえ、このセクションを追加するのが賢明と判断しました」と率直に語っています。

彼女のアドバイスは「AI生成コードをコミットする前に必ず読み、完全に理解すること」。AIコード生成の普及が続けば、このカテゴリーが将来的にトップ10入りする可能性は高いでしょう。今からAI生成コードのレビュー体制を整える組織は、今後のリスク管理で一歩先を行くことができます。

Kiteworks:長年続く脆弱性に特化したセキュリティ設計

OWASP Top 10は、多くのWebアプリケーションが機能優先で構築され、セキュリティが後回しにされているという傾向を浮き彫りにしています。Kiteworksはこれを設計段階から解決します。

アクセス制御の不備に対して、Kiteworksはすべてのリクエストでゼロトラスト検証、ロールベースおよび属性ベースアクセス制御、デフォルトで最小権限の徹底、完全な監査証跡を提供します。カスタムアクセス制御を構築するアプリケーションとは異なり、Kiteworksは機密データ通信向けに事前構築・テスト済みの制御を提供し、アーキテクチャレベルでOWASPの1位脆弱性を排除します。

サプライチェーンの障害に対しては、Kiteworksは分離されたCI/CDパイプライン、コード署名、SBOM、継続的な脆弱性スキャンを備えた強化SDLCを運用し、第三者データ交換も期間限定・範囲限定の権限で管理します。

設定ミスには、セキュア・バイ・デフォルトの自動検証と認証情報の強制変更を標準搭載。暗号化の失敗には、FIPS 140-3認証済み暗号化とTLS 1.3を提供。認証にはMFA、強力なパスワードポリシー、エンタープライズSSOを強制。ログ管理には、改ざん防止の監査証跡、SIEM連携、リアルタイムアラート、GDPR、HIPAA、CMMCなど各種フレームワーク対応の事前構築済みコンプライアンスレポートを提供します。

一般的なファイル共有プラットフォームは、アクセス制御を回避できる共有リンクや限定的な監査証跡しか提供しません。メールプラットフォームは、ガバナンスを回避する転送やAIを活用したフィッシングに依然として脆弱です。従来型MFTソリューションは複雑な設定が多く、設定ミスのリスクを高めます。Kiteworksは、OWASP Top 10が22年間業界に求め続けてきた「セキュリティ・バイ・デザイン」のアーキテクチャを提供します。

Kiteworksがどのように役立つかについては、カスタムデモを今すぐご予約ください

よくあるご質問

OWASP Top 10 2025は、アクセス制御の不備を最も重大なWebアプリケーション脆弱性として特定しており、これは2003年から続く順位です。セキュリティの設定ミスが2位に上昇し、ソフトウェアサプライチェーンの障害が3位に初登場しました。これら3つのカテゴリーで、実際の侵害の大半を占めています。目的別に設計されたアクセス制御やセキュア・バイ・デフォルトの設定を導入しない組織は、20年にわたりリストを支配してきた同じリスクにさらされ続けます。

ソフトウェアサプライチェーン攻撃は、アプリケーション自体ではなく、ビルド・配布・アップデートプロセスを標的にします。攻撃者はオープンソースライブラリに悪意あるコードを挿入したり、CI/CDパイプラインを改ざんしたり、開発者ワークステーションを侵害します。現在、セキュリティ専門家の50%がサプライチェーンリスクを最重要課題としています。防御には、SBOM(ソフトウェア部品表)、コード署名、強化されたビルド環境、すべての依存関係(直接的なものだけでなく)に対する厳格なサードパーティリスク管理が必要です。

セキュリティの設定ミスは、テストされたほぼすべてのアプリケーションで見つかります。クラウドの普及により、システムの設定項目が劇的に増え、設定ミスの機会も増加したためです。デフォルト認証情報の未変更、公開状態のストレージバケット、システム構成を明かす冗長なエラーメッセージなどが典型例です。組織が複数のクラウドプロバイダーやInfrastructure as Code環境を利用することで、問題はさらに複雑化します。セキュア・バイ・デフォルトのプラットフォーム設定と自動設定検証こそが、この複雑さに対応できる唯一のスケーラブルな防御策です。

OWASP 2025の「今後の課題」セクションでは、「AI生成コードへの不適切な信頼」(通称「バイブコーディング」問題)が、今後トップ10入りする可能性のある新たなリスクとして警告されています。開発者がAI生成コードを十分にレビューせずにコミットし、人間がロジックを理解しないまま自動スキャナーも検出できない脆弱性が持ち込まれています。対策は明快で、AI生成コードも信頼できない入力と同様に扱い、リリース前に必ず読み、理解し、テストすることです。今後、このリスクが高まるにつれ、コードの由来を記録する監査証跡も重要性を増していきます。

OWASP Top 10へのセキュリティ制御のマッピングは、まず上位3つから始めます。カスタム実装ではなく、テスト済みフレームワークを使った最小権限アクセス制御の徹底、セキュア・バイ・デフォルトの基準に基づく設定検証、ビルドパイプライン内のすべてのサードパーティ依存関係の棚卸しが必要です。暗号化の失敗には、FIPS認証済み暗号化とTLS 1.3の標準化を。全認証フローでMFAを徹底し、監査ログとリアルタイムアラート、SIEM連携を組み合わせてログギャップを解消しましょう。アラートのないログ収集は検知能力とは言えません。

追加リソース

  • ブログ記事 ゼロトラストアーキテクチャ:信頼せず、常に検証
  • 動画 Microsoft GCC High:防衛請負業者がより賢い選択へと向かう理由
  • ブログ記事 DSPMで機密データが検知された後のセキュリティ対策
  • ブログ記事 ゼロトラストアプローチで生成AIの信頼性を高める方法
  • 動画 ITリーダーのための機密データ安全保管ガイド

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks