OWASP Top 10 2025 レポート
OWASP Top 10 は、開発者および Web アプリケーションセキュリティのための標準的な啓発ドキュメントです。これは、Web アプリケーションに対する最も重大なセキュリティリスクに関する幅広いコンセンサスを表しています。
OWASP Top 10 レポートは、開発者、デザイナー、アーキテクト、および管理者に、最も重大な Web アプリケーションのセキュリティリスクについて教育します。このレポートは、これらのリスクを軽減する方法に関する基本的なガイダンスを提供します。
AppScan Enterprise バージョン 10.11.0 以降は、OWASP Top 10 2025 レポートをサポートしています。
OWASP Top 10 2021 から 2025 への変更点
2025 年の更新では、新しいカテゴリが導入され、以前の脆弱性が統合され、根本原因に焦点を当てるようにカテゴリ名が調整されました。
| OWASP Top 10 2025 脆弱性カテゴリ | 説明および OWASP Top 10 2021 からの変更点 |
|---|---|
| A01 アクセス制御の不備 | 引き続き最も重大なセキュリティリスクです。このカテゴリには、サーバーサイドリクエストフォージェリ (SSRF) が含まれるようになりました。 |
| A02 セキュリティ設定のミス ⇧ | 5 位から順位を上げました。この変更は、アプリケーションの動作における設定への依存が高まっていることを反映しています。 |
| A03 ソフトウェアサプライチェーンの障害 ⇧ | 以前の「脆弱で古くなったコンポーネント」カテゴリを拡張しました。これには、ソフトウェア依存関係エコシステム、ビルドシステム、および配信インフラストラクチャ全体での侵害が含まれるようになりました。 |
| A04 暗号化の失敗 ⇩ | 2 位から順位を下げました。これらの失敗は頻繁に、機密データの漏洩やシステムの侵害につながります。 |
| A05 インジェクション ⇩ | 3 位から順位を下げました。このカテゴリには、クロスサイトスクリプティングから SQL インジェクションまでの脆弱性が含まれます。 |
| A06 安全でない設計 ⇩ | 4 位から順位を下げました。この低下は、脅威モデリングと安全な設計における業界の改善を反映しています。 |
| A07 認証の失敗 | 7 位を維持しています。名前は、その範囲をより適切に反映するために「識別と認証の失敗」から更新されました。 |
| A08 ソフトウェアまたはデータの整合性の障害 | 8 位を維持しています。ソフトウェア、コード、およびデータアーティファクトの整合性の検証の失敗、および信頼境界の維持の失敗に焦点を当てています。 |
| A09 セキュリティのログとアラートの失敗 | 9 位を維持しています。アラート機能の重要性を強調するために、名前が「セキュリティのログとモニタリングの失敗」から更新されました。 |
| A10 例外的な状態の不適切な処理 (新規) | 新しく追加されたカテゴリです。不適切なエラー処理、論理エラー、フェイルオープン、および異常なシステム状態に焦点を当てています。 |
| ⇧ ⇩ は、2021 年のレポートに対する順位 (A01~A10) の変化を示します。 | |