OWASP Top 10(2020~2025年)の変遷
OWASP Top 10はWebアプリケーションの重大脆弱性に関する標準的な啓発資料であり、数年ごとに更新される。2021年版では前回(2017年版)から大幅に見直され、2025年版ではさらに新規項目追加や名称変更が行われた。以下、2021年版と2025年版の主なカテゴリを示す。
• OWASP Top 10:2021 (公開年:2021年) 
1. A01: Broken Access Control
2. A02: Cryptographic Failures
3. A03: Injection
4. A04: Insecure Design
5. A05: Security Misconfiguration
6. A06: Vulnerable and Outdated Components
7. A07: Identification and Authentication Failures
8. A08: Software and Data Integrity Failures
9. A09: Security Logging and Monitoring Failures
10. A10: Server Side Request Forgery (SSRF)
• OWASP Top 10:2025 (公開年:2025年) 
1. A01: Broken Access Control
2. A02: Security Misconfiguration
3. A03: Software Supply Chain Failures
4. A04: Cryptographic Failures
5. A05: Injection
6. A06: Insecure Design
7. A07: Authentication Failures
8. A08: Software or Data Integrity Failures
9. A09: Security Logging and Alerting Failures
10. A10: Mishandling of Exceptional Conditions
上表から分かるように、2025年版では2つの新カテゴリ(A03「サプライチェーン不具合」、A10「例外処理の不備」)が追加され、1項目が統合・削除されている(表は後述)。さらに、名称変更も見られる(例:A07は「Identification and Authentication」が「Authentication」に、A09は「Monitoring」が「Alerting」に変更)  。以下で、各カテゴリの出現・消滅・統合・分割・名称変更の詳細を説明する。
カテゴリの追加・統合・名称変更
• Broken Access Control(A01):2021年版でも1位だったこのカテゴリはそのまま継承された  。2025年版では**SSRF(Server Side Request Forgery)**の項目(2021年版A10)を含める形で統合されている 。OWASPによれば、SSRFは本質的にアクセス制御の問題と見なされ、A01に「統合」されたという 。
• Security Misconfiguration(A05→A02):2021年版では5位だった「設定ミス」は2025年版で2位に急浮上した 。増加するクラウド/コンテナ環境やIaC(Infrastructure as Code)の採用により、設定ファイルや権限設定の複雑化が進み、設定不備が顕在化しているためと指摘されている  。
• Vulnerable and Outdated Components(A06)→ Software Supply Chain Failures(A03): 2021年版の「既知脆弱性を持つ部品」項目は、2025年版で**「ソフトウェアサプライチェーンの障害」**(A03)に拡張された 。OWASPによれば、従来の依存ライブラリや部品の脆弱性だけでなく、ビルドシステムや配布インフラまで含めたサプライチェーン全体のリスクを扱う新たなカテゴリである  。実例として、SolarWindsや3CX、Codecovなどのサプライチェーン攻撃が世界的な被害をもたらしており、Verizon DBIRもサプライチェーン関与のインシデント増大を指摘している  。
• Insecure Design(A04):2021年版で新設された「設計上の不備」は、2025年版では6位にランクダウンした 。OWASPでは2021年以降、脅威モデリングや安全設計への注力が進んだことが背景にあると説明する 。
• Injection(A03):2021年版3位の「インジェクション」は2025年版で5位に後退した 。依然としてWebアプリ脆弱性で最も報告数の多いカテゴリだが、新規脆弱性が増加する一方で他のリスク(設定ミス、サプライチェーン等)も顕著となった結果である  。
• Authentication Failures(A07):2021年版「Identification and Authentication Failures」(認証/識別の不備)は、2025年版で単に**「Authentication Failures」**(認証不備)と名称を変更し同じ7位に留まった 。名称変更は認証に特化した内容を正確に反映するためで、また業界で認証フレームワークの普及が進んだことで発生頻度に改善が見られていると報告されている 。
• Software/Data Integrity Failures(A08):2021年版「ソフトウェアおよびデータの整合性の不備」は、2025年版でもほぼ同様に**「Software or Data Integrity Failures」**(ソフト/データ整合性不備)として残り8位だった 。サプライチェーンと似た領域だが、より低レイヤーのコード/データ改ざん検証に焦点を当てる項目である。
• Logging and Monitoring / Alerting(A09):2021年版「Security Logging and Monitoring Failures」は2025年版で**「Security Logging and Alerting Failures」と改称され9位となった 。監視からアラート**機能への注目に名称変更し、ログ収集だけでなく即時対応を促す重要性を強調している 。ただしデータ上の検出頻度は低く、コミュニティ調査で投票によりリスト入りしたカテゴリである。
• SSRF → Exceptional Conditions(A10):2021年版のA10「SSRF」は2025年版では消滅し、新たに**「Mishandling of Exceptional Conditions」**(例外状態の誤処理)というカテゴリが10位に加わった  。新カテゴリにはエラー処理や異常系ロジックの不備(フェイルオープン、不適切な例外処理など)が24のCWEでまとめられており、システム障害時に潜むセキュリティリスクを扱う  。
カテゴリ時系列比較(2021年 vs 2025年)
カテゴリ(概念) 2021年版 (順位/名称) 2025年版 (順位/名称) 変化の概要
Broken Access Control(アクセス制御不備) A01: Broken Access Control A01: Broken Access Control A10 SSRFを統合(SSRFはA01に含む) 
Security Misconfiguration(設定不備) A05: Security Misconfiguration A02: Security Misconfiguration 5位→2位に上昇 
Software Supply Chain Failures(サプライチェーン) (なし) A03: Software Supply Chain Failures 新設(旧A06を拡大、依存関係・配布経路を含む) 
Cryptographic Failures(暗号化不備) A02: Cryptographic Failures A04: Cryptographic Failures 2位→4位に降下
Injection(インジェクション) A03: Injection A05: Injection 3位→5位に降下
Insecure Design(設計不備) A04: Insecure Design A06: Insecure Design 4位→6位に降下(2021年に新設) 
Vulnerable/Outdated Components(脆弱部品) A06: Vulnerable and Outdated Components (「サプライチェーン」へ拡張) 新カテゴリ「サプライチェーン」に統合 
Authentication Failures(認証不備) A07: Identification and Authentication Failures A07: Authentication Failures 名称変更(「Identification」を削除) 
Software/Data Integrity Failures(整合性不備) A08: Software and Data Integrity Failures A08: Software or Data Integrity Failures 軽微な名称変更のみ
Logging & Monitoring/Alerting A09: Security Logging and Monitoring Failures A09: Security Logging and Alerting Failures 名称変更(「Monitoring」→「Alerting」) 
SSRF A10: Server Side Request Forgery (SSRF) (廃止) Broken Access Controlに統合 
Mishandling of Exceptional Conditions(例外処理) (なし) A10: Mishandling of Exceptional Conditions 新設(異常時のエラー処理不備を対象) 
背景:脅威環境とリスク意識の変化
新旧カテゴリの入れ替わりには、実際の攻撃傾向や技術動向が強く影響している。以下に主な背景を挙げる。
• サプライチェーン攻撃の増加:近年、ソフトウェア開発チェーンに対する攻撃(依存パッケージの改ざん、CI/CDパイプラインの侵害など)が顕著になった。2023年のVerizon DBIRでは、サプライチェーン絡みの侵害が前年比68%増の約15%に達し(2024年版)、SolarWindsやCodecov事件のような大規模被害が繰り返されている 。こうした事実を受け、OWASPも従来の「既知脆弱部品」から**「ソフトウェアサプライチェーン全体の失敗」**へとフォーカスを拡大した  。
• 誤設定・ヒューマンエラーの増大:クラウドやコンテナ、マイクロサービスの普及で、設定管理の複雑化が進行している。2024年DBIRでは、ミス設定などのヒューマンエラーが全インシデントの約3分の1を占めたと報告され、ビルドサーバーの過剰権限設定など具体例も挙げられている 。設定ミス(Security Misconfiguration)が2025年版で急上昇したのはこのためである  。
• 認証・アイデンティティ管理(ID管理):Verizon DBIRでは、盗まれた認証情報が依然として侵入の主要手段である(侵入経路の約22%)とされ、Webアプリ攻撃の88%で盗難クレデンシャルが関与している 。これらは「Broken Access Control」や「Authentication Failures」に該当する問題であり、OWASPでも引き続き重点カテゴリとなっている。とはいえ、標準認証フレームワークや多要素認証の普及で若干改善傾向も示され、名称変更(Identificationの除去)につながった  。
• APIセキュリティ:WebアプリのAPI化進展に伴い、OWASPではAPI向けTop 10も独立して更新されている(2023年版公開) 。そこでは「認可(Authorization)失敗」が上位を占め、SSRFの流入(Webhookの普及による影響)や「重要業務フローへの無制限アクセス」などが注目されている  。このAPI領域のトレンドも、総体としてWebアプリのTop 10に影響し、SSRF統合やアクセス制御強化意識の高まりにつながっている。
• 脆弱性報告・攻撃動向:最新の脆弱性統計によれば、2025年上半期には新規CVE報告件数が過去最高を更新し(1日あたり約133件)  、その多くはXSSやSQLインジェクション、認可漏れといった従来型の脆弱性である 。また、脆弱性の悪用が急速化し、24時間以内に攻撃に使われる例も増加している  。特にCWE Top 25では「認可漏れ(Missing Authorization)」や「認証漏れ(Missing Authentication)」の順位上昇が報告され、OWASP Top 10と整合性がある 。一方、SSRFはCWE上で順位が低下しており 、これもOWASPでSSRFをBACに統合した判断の裏付けとなっている。
カテゴリ比較表:2021年版 vs 2025年版
上記の変遷を整理した比較表を下に示す。左列はカテゴリの概念、中央と右列が各版での順位と名称、最右列に変化概要を記載する。
カテゴリ(概念) 2021年版 (順位/名称) 2025年版 (順位/名称) 変化内容
Broken Access Control(アクセス制御) A01: Broken Access Control A01: Broken Access Control 継続(A10 SSRFを統合) 
Security Misconfiguration(設定不備) A05: Security Misconfiguration A02: Security Misconfiguration 順位上昇(5位→2位) 
Software Supply Chain Failures(サプライチェーン) –(なし) A03: Software Supply Chain Failures 新設(旧A06を拡張) 
Cryptographic Failures(暗号化不備) A02: Cryptographic Failures A04: Cryptographic Failures 順位下降(2位→4位)
Injection(インジェクション) A03: Injection A05: Injection 順位下降(3位→5位) 
Insecure Design(設計不備) A04: Insecure Design A06: Insecure Design 順位下降(4位→6位) 
Vulnerable/Outdated Components(脆弱部品) A06: Vulnerable and Outdated Components –(「サプライチェーン」に統合) 「サプライチェーン」カテゴリに統合 
Authentication Failures(認証不備) A07: Identification and Authentication Failures A07: Authentication Failures 名称変更(Identification除去) 
Software/Data Integrity Failures(整合性不備) A08: Software and Data Integrity Failures A08: Software or Data Integrity Failures 軽微な名称変更のみ
Logging & Monitoring/Alerting(記録・監視/通知) A09: Security Logging and Monitoring Failures A09: Security Logging and Alerting Failures 名称変更(Monitoring→Alerting) 
SSRF A10: Server Side Request Forgery (SSRF) –(廃止) A01に統合(アクセス制御問題と判断) 
Mishandling of Exceptional Conditions(例外処理不備) –(なし) A10: Mishandling of Exceptional Conditions 新設(例外・エラー処理の不備を対象) 
トレンドのまとめ
• アクセス制御・認証の強化:認可漏れや認証不備は依然重大リスクで、認可失敗が上位を占めるAPI Top 10(2023年版)でも要素技術が注目されている  。DBIRでも盗まれた認証情報が侵入経路の第一位であり  、ID管理の重要性は継続して強調されている。
• サプライチェーンセキュリティ:ソフトウェア開発全体における第三者リスクが激増しており  、OWASPも新カテゴリでフォーカス。サプライチェーン攻撃の被害は一度の侵害で広域に拡散するため、トップ10で初めて扱われることになった  。
• 設定ミス・クラウド構成:クラウドサービスやIaCの普及で設定項目が爆発的に増え、誤設定による侵入や情報漏洩が頻発している  。OWASPもMisconfigurationを上位に位置付けており、関連するスキャニングやガバナンスが注目されている。
• APIセキュリティ:Webアプリケーションの背後ではAPIの役割が拡大しており、独立したOWASP API Top 10が定期更新されている 。認可ミスやSSRFが頻出し、またボットによる大量アクセス対策(業務フロー保護)など新たな脅威も台頭している  。
• データ整合性・検知(ログ/アラート):ソフトウェアの完全性チェックやインシデント検出体制の重要性も高まっている。OWASPでは「データ整合性不備」や「Logging/Alerting」を継続して掲げ、コード署名やログ監視の強化を促している  。
以上のように、OWASP Top 10の変遷は、実際の脅威や技術トレンドの変化を敏感に反映している。OWASP公式では各カテゴリ追加・変更の背景をデータ分析とコミュニティ調査に基づき説明しており  、開発者や組織はこれらの変化を踏まえたセキュリティ対策が求められている。
参考文献: OWASP公式サイト   、Verizon DBIR関連レポート  、その他業界記事  等。各出典に示すように、分析と報告書の知見を組み合わせて本報告を作成した。
最終更新:2026年01月13日 13:26
