OWASP Top 10 2025 の変更点解説 ～ NTTデータ先端技術

　株式会社NTTデータ先端技術は3月10日、「OWASP Top 10 2025」の解説記事を発表した。

　「OWASP Top 10」は、Webアプリケーションにおける最も重要なセキュリティリスクを10のカテゴリに分類し、意識向上を目的としてまとめられた文書で、Webアプリケーションにおけるセキュリティの最低限の基準として位置付けられている。2025年末に「OWASP Top 10 2025」が正式リリースされており、同記事では、「OWASP Top 10 2021」（2021年版）から「OWASP Top 10 2025」（2025年版）への主な変更内容を5つに分けて抜粋し紹介している。

　同記事によると、2025年版ではカテゴリ構造に下記の変更がある。

・CWEの分析対象が2021年版では約400件、2025年版では589件へ増加
（2025年版で10カテゴリに使用されるCWEは248件）
・各CWEについて、テストで当該CWEが少なくとも1回検出されたアプリケーション数を計算に使用
・CWEをカテゴリ化する際には可能な限り症状（symptom）ではなく根本原因（root cause）に焦点を当てる
・1カテゴリ内のCWEは上限が40件、下限が5件で、平均25件を提供
・データ収集対象のアプリケーション数が50万件から280万件以上へ増加

　「Next Steps」を含む2021年版から2025年版におけるカテゴリの変更点は下記の通り。

2021年版：A01:2021 - Broken Access Control
2025年版：A01:2025 - Broken Access Control
変更点の概要：順位維持、A10を統合

2021年版：A02:2021 - Cryptographic Failures
2025年版：A02:2025 - Security Misconfiguration
変更点の概要：5位→2位に変更

2021年版：A03:2021 - Injection
2025年版：A03:2025 - Software Supply Chain Failures
変更点の概要：A06を拡張し新規追加

2021年版：A04:2021 - Insecure Design
2025年版：A04:2025 - Cryptographic Failures
変更点の概要：2位→4位に変更

2021年版：A05:2021 - Security Misconfiguration
2025年版：A05:2025 - Injection
変更点の概要：3位→5位に変更

2021年版：A06:2021 - Vulnerable and Outdated Components
2025年版：A06:2025 - Insecure Design
変更点の概要：4位→6位に変更

2021年版：A07:2021 - Identification and Authentication Failures
2025年版：A07:2025 - Authentication Failures
変更点の概要：順位維持、名称変更

2021年版：A08:2021 - Software and Data Integrity Failures
2025年版：A08:2025 - Software or Data Integrity Failures
変更点の概要：順位維持、名称変更

2021年版：A09:2021 - Security Logging and Monitoring Failures
2025年版：A09:2025 - Security Logging & Alerting Failures
変更点の概要：順位維持、名称変更

2021年版：A10:2021 - Server-Side Request Forgery
2025年版：A10:2025 - Mishandling of Exceptional Conditions
変更点の概要：新規追加

2021年版：Code Quality issues
2025年版：X01:2025 Lack of Application Resilience
変更点の概要：名称変更

2021年版：Denial of Service
2025年版：X02:2025 Memory Management Failures
変更点の概要：名称変更

2021年版：Memory Management Errors
2025年版：X03:2025 Inappropriate Trust in AI Generated Code (‘Vibe Coding’)
変更点の概要：新規追加

　同記事では変更点を下記の5つに分けて詳細を解説している。

1.「A01:2025 - Broken Access Control」のカテゴリ統合
2.「A02:2025 - Security Misconfiguration」の順位の大幅な変更
3.「A03:2025 - Software Supply Chain Failures」と「A10:2025 - Mishandling of Exceptional Conditions」の新規カテゴリが2つ追加
4.「A04:2025 - Cryptographic Failures」の暗号について
5.AI関連への言及