最新版のOWASP Top 10には、アクセス制御不備・暗号化不備・インジェクションなど、Webアプリケーションにおける代表的な10のセキュリティリスクが含まれています。具体的な項目は以下のとおりです。
- A01:アクセス制御不備
本来アクセスできない情報や機能に、権限のないユーザーがアクセスできてしまう状態 - A02:セキュリティ設定不備
サーバーを初期設定のまま放置したり、不必要な機能を有効にしたりすることで生まれる脆弱性 - A03:ソフトウェアサプライチェーンの不備
開発に使用する外部ライブラリなど、製品がユーザーに届くまでの工程に潜むリスク - A04:暗号化不備
通信や保存データの暗号化が不十分で、機密情報が漏洩する可能性がある状態 - A05:インジェクション
不正な入力により、データベース操作やコマンド実行が行われてしまう脆弱性 - A06:安全性を欠いた設計
設計段階でセキュリティが考慮されておらず、根本的なリスクを抱える状態 - A07:認証不備
本人確認の仕組みに不備があり、不正ログインやアカウント乗っ取りが発生する状態 - A08:ソフトウェアまたはデータの完全性の不備
改ざんされたコードやデータが正規のものとして扱われてしまうリスク - A09:セキュリティログとアラートの不備
攻撃の兆候を記録・検知できず、異常に気づけない状態 - A10:例外的な状況への相応な対応
エラー発生時の対応が不十分で、システム異常や情報漏洩につながるリスク
リスクを一つひとつ確認し、適切な対策を講じることで、Webアプリケーションの安全性を大きく向上させられます。
各項目の詳細については「【2025年版】OWASP Top 10の概要」をご覧ください。
