OWASP Top 10 2025:ソフトウェア・サプライチェーンの失敗
待ちに待った2025 年版 OWASP Top Ten が発表され、企業は特に警戒すべき新たな脅威をいくつか手に入れた。ソフトウエアサプライチェーンの失敗」は、新しいカテゴリとしてデビューしましたが、まったく新しいカテゴリというわけではなく、Open Web Application Security Projectが4年ごとに発表するウェブアプリケーションセキュリティに対する最も深刻なリスクのリストの第3位に位置しています。このリスクは、企業がまだ深刻に受け止めていないのであれば、非常に深刻に受け止める必要がある。
ソフトウェア・サプライチェーンの失敗」は、2021年に発表された前リストのカテゴリー「脆弱なコンポーネントと時代遅れのコンポーネント」から発展したもので、現在では依存関係、ビルドシステム、配布インフラといったソフトウェア・エコシステム全体にわたる、より広範な侵害を含んでいる。2019年のSolarWinds、今年初めのBybitのハッキング、そして現在進行中のShai-Huludキャンペーン(特に厄介な、自己複製するnpmワームが露出した開発者環境を大混乱に陥れる)のような知名度の高いサプライチェーン攻撃による被害を考えれば、このリストへの登場は特に驚くことではない。
OWASP トップ 10 は、4 年ごとに更新されるリストにふさわしく、概ね一貫している。例えば、長年の常連である「インジェクション」は3位から5位に、「安全でない設計」は2つ順位を下げて6位に、「セキュリティの設定ミス」は5位から2位にジャンプアップしている。壊れたアクセス・コントロールは引き続きトップの座を守っている。2025年版では、前述の「ソフトウェア・サプライチェーンの失敗」と、10位にランクインした「例外的状況の誤った処理」の2つが新たにランクインした。ここでは、サプライチェーンの脆弱性の新エントリーを詳しく見てみよう。
脆弱性はどこにでも存在する
ソフトウェアサプライチェーンの失敗」は、10 のエントリの中で、OWASP の調査データで最も発生件数が少ないという点で、このリストではやや珍しいカテゴリですが、このカテゴリに含まれる 5 つの共通脆弱性列挙(CWE)の結果、エクスプロイトと影響の平均スコアが最も高いカテゴリでもあります。OWASP は、このカテゴリの存在感が限定的であるのは、このカテゴリのテストにおける現在の課題によるものであり、いずれ改善される可能性があると述べています。ともあれ、調査回答者は圧倒的に「ソフトウェア・サプライチェーンの失敗」を最大の懸念事項として挙げている。
サプライチェーンの脆弱性の多くは、上流と下流のパートナーやサードパーティが関与する、ビジネスを行う上での相互接続性から生じている。すべての相互作用は、コンポーネント(別名、依存関係やライブラリ)が保護されていない可能性のあるソフトウェアを含んでいます。企業は、自社のコンポーネント(クライアントサイド、サーバーサイド、またはネストされたもの)のすべてのバージョン、および(他のライブラリからの)推移的依存関係を追跡し、それらが脆弱でないこと、サポートされていないこと、または古くなっていないことを確認しなければ、脆弱である可能性があります。コンポーネントは通常、アプリケーションと同じ権限を持つため、サードパーティやオープンソースのリポジトリに由来するものを含め、侵害されたコンポーネントは広範囲に影響を及ぼす可能性があります。タイムリーなパッチ適用とアップデートは不可欠であり、毎月または四半期ごとの定期的なパッチ適用スケジュールでさえ、企業は数日から数カ月にわたって危険にさらされる可能性があります。
同様に、統合開発環境(IDE)や、コードリポジトリ、イメージリポジトリ、ライブラリリポジトリ、あるいはサプライチェーンの他の部分に対する変更を追跡していない場合、サプライチェーンにおける変更管理プロセスの欠如が脆弱性を生み出す可能性がある。組織は、アクセス・コントロールと最小特権ポリシーを適用して、サプライ・チェーンを強化する必要がある。
サプライチェーン攻撃は様々な形で行われる可能性がある。悪名高いソーラーウィンズの攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まった。この攻撃により、約18,000社の顧客が影響を受けた。実際に影響を受けた企業の数は100社に近かったが、そのリストには大手企業や政府機関が含まれていた。北朝鮮に端を発した15億ドルのBybitハッキングは、暗号通貨アプリが危険にさらされたものだった。最近のグラスワームのサプライチェーン攻撃は、オープンVSXマーケットプレイスに感染した、目に見えない自己複製コードに関与していた。
サプライチェーンにおける不正行為の防止
サプライチェーン攻撃にはシステムの相互依存性が伴うため、その防御には包括的なアプローチが必要となる。OWASPは、攻撃を防ぐためのヒントを提供している:
- すべてのソフトウェアのソフトウェア部品表(SBOM)を把握し、SBOMを一元管理する。SBOMは、SPDXやCycloneDXなどの標準フォーマットを使用して、後で作成するのではなく、ビルド中に作成し、リリースごとに少なくとも1つの機械可読SBOMを公開するのが最善です。
- 推移的依存関係を含むすべての依存関係を追跡し、使用されていない依存関係や不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- OWASP Dependency Checkや retire.jsなどのツールを使用して、クライアントサイドとサーバーサイドのコンポーネントとその依存関係を継続的にインベントリ化する。
- CVE(Common Vulnerabilities and Exposures)ウェブサイトやNVD(National Vulnerability Database)などの情報源を継続的に監視し、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読して、脆弱性に関する最新情報を入手する。
- 信頼できるソースからのみ、安全なリンクを通じて入手したコンポーネントを使用する。例えば、信頼できるプロバイダーは、リサーチャーがコンポーネントに発見したCVEを開示するために、喜んでリサーチャーと協力するでしょう。
- どのバージョンの依存関係を使うかを意図的に選択し、必要なときだけアップグレードする。NVDのような有名なソースで脆弱性が公表されているサードパーティ・ライブラリと連携する。
- メンテナンスされていない、またはサポートされていないライブラリやコンポーネントを監視する。パッチ適用が不可能な場合は、発見された問題を監視、検出、または保護するための仮想パッチを展開することを検討する。
- 開発者ツールを定期的に更新する。
- CI/CDパイプラインのコンポーネントをこのプロセスの一部として扱い、変更を文書化しながらハードニングと監視を行う。
変更管理や追跡プロセスは、CI/CD設定、コード・リポジトリ、サンドボックス、統合開発者環境(IDE)、SBOMツール、作成された成果物、ロギング・システムとログ、SaaSなどのサードパーティ統合、成果物リポジトリ、コンテナ・レジストリにも適用する必要がある。また、開発者のワークステーションからCI/CDパイプラインまで、システムを堅牢化する必要がある。強力なアイデンティティとアクセス管理ポリシーを実施しながら、多要素認証も必ず有効にしてください。
ソフトウェア・サプライチェーンの障害から保護することは、高度に相互接続された世界を前に、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威を防御するために、アプリケーションとコンポーネントのライフサイクル全体に対して強力な防御策を採用しなければなりません。
SCW Trust Score™ ユーザーの皆様へ:
OWASP Top 10 2025の標準に合わせてLearning Platform コンテンツを更新しているため、フルスタック開発者のTrust Scoreが若干調整される可能性があります。ご質問やサポートが必要な場合は、カスタマー・サクセス担当者までご連絡ください。
OWASP Top 10 2025では、ソフトウェア・サプライチェーンの失敗が3位に挙げられている。厳格なSBOM、依存関係の追跡、CI/CDパイプラインの堅牢化によって、この影響の大きいリスクを軽減する。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
待ちに待った2025 年版 OWASP Top Ten が発表され、企業は特に警戒すべき新たな脅威をいくつか手に入れた。ソフトウエアサプライチェーンの失敗」は、新しいカテゴリとしてデビューしましたが、まったく新しいカテゴリというわけではなく、Open Web Application Security Projectが4年ごとに発表するウェブアプリケーションセキュリティに対する最も深刻なリスクのリストの第3位に位置しています。このリスクは、企業がまだ深刻に受け止めていないのであれば、非常に深刻に受け止める必要がある。
ソフトウェア・サプライチェーンの失敗」は、2021年に発表された前リストのカテゴリー「脆弱なコンポーネントと時代遅れのコンポーネント」から発展したもので、現在では依存関係、ビルドシステム、配布インフラといったソフトウェア・エコシステム全体にわたる、より広範な侵害を含んでいる。2019年のSolarWinds、今年初めのBybitのハッキング、そして現在進行中のShai-Huludキャンペーン(特に厄介な、自己複製するnpmワームが露出した開発者環境を大混乱に陥れる)のような知名度の高いサプライチェーン攻撃による被害を考えれば、このリストへの登場は特に驚くことではない。
OWASP トップ 10 は、4 年ごとに更新されるリストにふさわしく、概ね一貫している。例えば、長年の常連である「インジェクション」は3位から5位に、「安全でない設計」は2つ順位を下げて6位に、「セキュリティの設定ミス」は5位から2位にジャンプアップしている。壊れたアクセス・コントロールは引き続きトップの座を守っている。2025年版では、前述の「ソフトウェア・サプライチェーンの失敗」と、10位にランクインした「例外的状況の誤った処理」の2つが新たにランクインした。ここでは、サプライチェーンの脆弱性の新エントリーを詳しく見てみよう。
脆弱性はどこにでも存在する
ソフトウェアサプライチェーンの失敗」は、10 のエントリの中で、OWASP の調査データで最も発生件数が少ないという点で、このリストではやや珍しいカテゴリですが、このカテゴリに含まれる 5 つの共通脆弱性列挙(CWE)の結果、エクスプロイトと影響の平均スコアが最も高いカテゴリでもあります。OWASP は、このカテゴリの存在感が限定的であるのは、このカテゴリのテストにおける現在の課題によるものであり、いずれ改善される可能性があると述べています。ともあれ、調査回答者は圧倒的に「ソフトウェア・サプライチェーンの失敗」を最大の懸念事項として挙げている。
サプライチェーンの脆弱性の多くは、上流と下流のパートナーやサードパーティが関与する、ビジネスを行う上での相互接続性から生じている。すべての相互作用は、コンポーネント(別名、依存関係やライブラリ)が保護されていない可能性のあるソフトウェアを含んでいます。企業は、自社のコンポーネント(クライアントサイド、サーバーサイド、またはネストされたもの)のすべてのバージョン、および(他のライブラリからの)推移的依存関係を追跡し、それらが脆弱でないこと、サポートされていないこと、または古くなっていないことを確認しなければ、脆弱である可能性があります。コンポーネントは通常、アプリケーションと同じ権限を持つため、サードパーティやオープンソースのリポジトリに由来するものを含め、侵害されたコンポーネントは広範囲に影響を及ぼす可能性があります。タイムリーなパッチ適用とアップデートは不可欠であり、毎月または四半期ごとの定期的なパッチ適用スケジュールでさえ、企業は数日から数カ月にわたって危険にさらされる可能性があります。
同様に、統合開発環境(IDE)や、コードリポジトリ、イメージリポジトリ、ライブラリリポジトリ、あるいはサプライチェーンの他の部分に対する変更を追跡していない場合、サプライチェーンにおける変更管理プロセスの欠如が脆弱性を生み出す可能性がある。組織は、アクセス・コントロールと最小特権ポリシーを適用して、サプライ・チェーンを強化する必要がある。
サプライチェーン攻撃は様々な形で行われる可能性がある。悪名高いソーラーウィンズの攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まった。この攻撃により、約18,000社の顧客が影響を受けた。実際に影響を受けた企業の数は100社に近かったが、そのリストには大手企業や政府機関が含まれていた。北朝鮮に端を発した15億ドルのBybitハッキングは、暗号通貨アプリが危険にさらされたものだった。最近のグラスワームのサプライチェーン攻撃は、オープンVSXマーケットプレイスに感染した、目に見えない自己複製コードに関与していた。
サプライチェーンにおける不正行為の防止
サプライチェーン攻撃にはシステムの相互依存性が伴うため、その防御には包括的なアプローチが必要となる。OWASPは、攻撃を防ぐためのヒントを提供している:
- すべてのソフトウェアのソフトウェア部品表(SBOM)を把握し、SBOMを一元管理する。SBOMは、SPDXやCycloneDXなどの標準フォーマットを使用して、後で作成するのではなく、ビルド中に作成し、リリースごとに少なくとも1つの機械可読SBOMを公開するのが最善です。
- 推移的依存関係を含むすべての依存関係を追跡し、使用されていない依存関係や不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- OWASP Dependency Checkや retire.jsなどのツールを使用して、クライアントサイドとサーバーサイドのコンポーネントとその依存関係を継続的にインベントリ化する。
- CVE(Common Vulnerabilities and Exposures)ウェブサイトやNVD(National Vulnerability Database)などの情報源を継続的に監視し、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読して、脆弱性に関する最新情報を入手する。
- 信頼できるソースからのみ、安全なリンクを通じて入手したコンポーネントを使用する。例えば、信頼できるプロバイダーは、リサーチャーがコンポーネントに発見したCVEを開示するために、喜んでリサーチャーと協力するでしょう。
- どのバージョンの依存関係を使うかを意図的に選択し、必要なときだけアップグレードする。NVDのような有名なソースで脆弱性が公表されているサードパーティ・ライブラリと連携する。
- メンテナンスされていない、またはサポートされていないライブラリやコンポーネントを監視する。パッチ適用が不可能な場合は、発見された問題を監視、検出、または保護するための仮想パッチを展開することを検討する。
- 開発者ツールを定期的に更新する。
- CI/CDパイプラインのコンポーネントをこのプロセスの一部として扱い、変更を文書化しながらハードニングと監視を行う。
変更管理や追跡プロセスは、CI/CD設定、コード・リポジトリ、サンドボックス、統合開発者環境(IDE)、SBOMツール、作成された成果物、ロギング・システムとログ、SaaSなどのサードパーティ統合、成果物リポジトリ、コンテナ・レジストリにも適用する必要がある。また、開発者のワークステーションからCI/CDパイプラインまで、システムを堅牢化する必要がある。強力なアイデンティティとアクセス管理ポリシーを実施しながら、多要素認証も必ず有効にしてください。
ソフトウェア・サプライチェーンの障害から保護することは、高度に相互接続された世界を前に、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威を防御するために、アプリケーションとコンポーネントのライフサイクル全体に対して強力な防御策を採用しなければなりません。
SCW Trust Score™ ユーザーの皆様へ:
OWASP Top 10 2025の標準に合わせてLearning Platform コンテンツを更新しているため、フルスタック開発者のTrust Scoreが若干調整される可能性があります。ご質問やサポートが必要な場合は、カスタマー・サクセス担当者までご連絡ください。
待ちに待った2025 年版 OWASP Top Ten が発表され、企業は特に警戒すべき新たな脅威をいくつか手に入れた。ソフトウエアサプライチェーンの失敗」は、新しいカテゴリとしてデビューしましたが、まったく新しいカテゴリというわけではなく、Open Web Application Security Projectが4年ごとに発表するウェブアプリケーションセキュリティに対する最も深刻なリスクのリストの第3位に位置しています。このリスクは、企業がまだ深刻に受け止めていないのであれば、非常に深刻に受け止める必要がある。
ソフトウェア・サプライチェーンの失敗」は、2021年に発表された前リストのカテゴリー「脆弱なコンポーネントと時代遅れのコンポーネント」から発展したもので、現在では依存関係、ビルドシステム、配布インフラといったソフトウェア・エコシステム全体にわたる、より広範な侵害を含んでいる。2019年のSolarWinds、今年初めのBybitのハッキング、そして現在進行中のShai-Huludキャンペーン(特に厄介な、自己複製するnpmワームが露出した開発者環境を大混乱に陥れる)のような知名度の高いサプライチェーン攻撃による被害を考えれば、このリストへの登場は特に驚くことではない。
OWASP トップ 10 は、4 年ごとに更新されるリストにふさわしく、概ね一貫している。例えば、長年の常連である「インジェクション」は3位から5位に、「安全でない設計」は2つ順位を下げて6位に、「セキュリティの設定ミス」は5位から2位にジャンプアップしている。壊れたアクセス・コントロールは引き続きトップの座を守っている。2025年版では、前述の「ソフトウェア・サプライチェーンの失敗」と、10位にランクインした「例外的状況の誤った処理」の2つが新たにランクインした。ここでは、サプライチェーンの脆弱性の新エントリーを詳しく見てみよう。
脆弱性はどこにでも存在する
ソフトウェアサプライチェーンの失敗」は、10 のエントリの中で、OWASP の調査データで最も発生件数が少ないという点で、このリストではやや珍しいカテゴリですが、このカテゴリに含まれる 5 つの共通脆弱性列挙(CWE)の結果、エクスプロイトと影響の平均スコアが最も高いカテゴリでもあります。OWASP は、このカテゴリの存在感が限定的であるのは、このカテゴリのテストにおける現在の課題によるものであり、いずれ改善される可能性があると述べています。ともあれ、調査回答者は圧倒的に「ソフトウェア・サプライチェーンの失敗」を最大の懸念事項として挙げている。
サプライチェーンの脆弱性の多くは、上流と下流のパートナーやサードパーティが関与する、ビジネスを行う上での相互接続性から生じている。すべての相互作用は、コンポーネント(別名、依存関係やライブラリ)が保護されていない可能性のあるソフトウェアを含んでいます。企業は、自社のコンポーネント(クライアントサイド、サーバーサイド、またはネストされたもの)のすべてのバージョン、および(他のライブラリからの)推移的依存関係を追跡し、それらが脆弱でないこと、サポートされていないこと、または古くなっていないことを確認しなければ、脆弱である可能性があります。コンポーネントは通常、アプリケーションと同じ権限を持つため、サードパーティやオープンソースのリポジトリに由来するものを含め、侵害されたコンポーネントは広範囲に影響を及ぼす可能性があります。タイムリーなパッチ適用とアップデートは不可欠であり、毎月または四半期ごとの定期的なパッチ適用スケジュールでさえ、企業は数日から数カ月にわたって危険にさらされる可能性があります。
同様に、統合開発環境(IDE)や、コードリポジトリ、イメージリポジトリ、ライブラリリポジトリ、あるいはサプライチェーンの他の部分に対する変更を追跡していない場合、サプライチェーンにおける変更管理プロセスの欠如が脆弱性を生み出す可能性がある。組織は、アクセス・コントロールと最小特権ポリシーを適用して、サプライ・チェーンを強化する必要がある。
サプライチェーン攻撃は様々な形で行われる可能性がある。悪名高いソーラーウィンズの攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まった。この攻撃により、約18,000社の顧客が影響を受けた。実際に影響を受けた企業の数は100社に近かったが、そのリストには大手企業や政府機関が含まれていた。北朝鮮に端を発した15億ドルのBybitハッキングは、暗号通貨アプリが危険にさらされたものだった。最近のグラスワームのサプライチェーン攻撃は、オープンVSXマーケットプレイスに感染した、目に見えない自己複製コードに関与していた。
サプライチェーンにおける不正行為の防止
サプライチェーン攻撃にはシステムの相互依存性が伴うため、その防御には包括的なアプローチが必要となる。OWASPは、攻撃を防ぐためのヒントを提供している:
- すべてのソフトウェアのソフトウェア部品表(SBOM)を把握し、SBOMを一元管理する。SBOMは、SPDXやCycloneDXなどの標準フォーマットを使用して、後で作成するのではなく、ビルド中に作成し、リリースごとに少なくとも1つの機械可読SBOMを公開するのが最善です。
- 推移的依存関係を含むすべての依存関係を追跡し、使用されていない依存関係や不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- OWASP Dependency Checkや retire.jsなどのツールを使用して、クライアントサイドとサーバーサイドのコンポーネントとその依存関係を継続的にインベントリ化する。
- CVE(Common Vulnerabilities and Exposures)ウェブサイトやNVD(National Vulnerability Database)などの情報源を継続的に監視し、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読して、脆弱性に関する最新情報を入手する。
- 信頼できるソースからのみ、安全なリンクを通じて入手したコンポーネントを使用する。例えば、信頼できるプロバイダーは、リサーチャーがコンポーネントに発見したCVEを開示するために、喜んでリサーチャーと協力するでしょう。
- どのバージョンの依存関係を使うかを意図的に選択し、必要なときだけアップグレードする。NVDのような有名なソースで脆弱性が公表されているサードパーティ・ライブラリと連携する。
- メンテナンスされていない、またはサポートされていないライブラリやコンポーネントを監視する。パッチ適用が不可能な場合は、発見された問題を監視、検出、または保護するための仮想パッチを展開することを検討する。
- 開発者ツールを定期的に更新する。
- CI/CDパイプラインのコンポーネントをこのプロセスの一部として扱い、変更を文書化しながらハードニングと監視を行う。
変更管理や追跡プロセスは、CI/CD設定、コード・リポジトリ、サンドボックス、統合開発者環境(IDE)、SBOMツール、作成された成果物、ロギング・システムとログ、SaaSなどのサードパーティ統合、成果物リポジトリ、コンテナ・レジストリにも適用する必要がある。また、開発者のワークステーションからCI/CDパイプラインまで、システムを堅牢化する必要がある。強力なアイデンティティとアクセス管理ポリシーを実施しながら、多要素認証も必ず有効にしてください。
ソフトウェア・サプライチェーンの障害から保護することは、高度に相互接続された世界を前に、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威を防御するために、アプリケーションとコンポーネントのライフサイクル全体に対して強力な防御策を採用しなければなりません。
SCW Trust Score™ ユーザーの皆様へ:
OWASP Top 10 2025の標準に合わせてLearning Platform コンテンツを更新しているため、フルスタック開発者のTrust Scoreが若干調整される可能性があります。ご質問やサポートが必要な場合は、カスタマー・サクセス担当者までご連絡ください。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
待ちに待った2025 年版 OWASP Top Ten が発表され、企業は特に警戒すべき新たな脅威をいくつか手に入れた。ソフトウエアサプライチェーンの失敗」は、新しいカテゴリとしてデビューしましたが、まったく新しいカテゴリというわけではなく、Open Web Application Security Projectが4年ごとに発表するウェブアプリケーションセキュリティに対する最も深刻なリスクのリストの第3位に位置しています。このリスクは、企業がまだ深刻に受け止めていないのであれば、非常に深刻に受け止める必要がある。
ソフトウェア・サプライチェーンの失敗」は、2021年に発表された前リストのカテゴリー「脆弱なコンポーネントと時代遅れのコンポーネント」から発展したもので、現在では依存関係、ビルドシステム、配布インフラといったソフトウェア・エコシステム全体にわたる、より広範な侵害を含んでいる。2019年のSolarWinds、今年初めのBybitのハッキング、そして現在進行中のShai-Huludキャンペーン(特に厄介な、自己複製するnpmワームが露出した開発者環境を大混乱に陥れる)のような知名度の高いサプライチェーン攻撃による被害を考えれば、このリストへの登場は特に驚くことではない。
OWASP トップ 10 は、4 年ごとに更新されるリストにふさわしく、概ね一貫している。例えば、長年の常連である「インジェクション」は3位から5位に、「安全でない設計」は2つ順位を下げて6位に、「セキュリティの設定ミス」は5位から2位にジャンプアップしている。壊れたアクセス・コントロールは引き続きトップの座を守っている。2025年版では、前述の「ソフトウェア・サプライチェーンの失敗」と、10位にランクインした「例外的状況の誤った処理」の2つが新たにランクインした。ここでは、サプライチェーンの脆弱性の新エントリーを詳しく見てみよう。
脆弱性はどこにでも存在する
ソフトウェアサプライチェーンの失敗」は、10 のエントリの中で、OWASP の調査データで最も発生件数が少ないという点で、このリストではやや珍しいカテゴリですが、このカテゴリに含まれる 5 つの共通脆弱性列挙(CWE)の結果、エクスプロイトと影響の平均スコアが最も高いカテゴリでもあります。OWASP は、このカテゴリの存在感が限定的であるのは、このカテゴリのテストにおける現在の課題によるものであり、いずれ改善される可能性があると述べています。ともあれ、調査回答者は圧倒的に「ソフトウェア・サプライチェーンの失敗」を最大の懸念事項として挙げている。
サプライチェーンの脆弱性の多くは、上流と下流のパートナーやサードパーティが関与する、ビジネスを行う上での相互接続性から生じている。すべての相互作用は、コンポーネント(別名、依存関係やライブラリ)が保護されていない可能性のあるソフトウェアを含んでいます。企業は、自社のコンポーネント(クライアントサイド、サーバーサイド、またはネストされたもの)のすべてのバージョン、および(他のライブラリからの)推移的依存関係を追跡し、それらが脆弱でないこと、サポートされていないこと、または古くなっていないことを確認しなければ、脆弱である可能性があります。コンポーネントは通常、アプリケーションと同じ権限を持つため、サードパーティやオープンソースのリポジトリに由来するものを含め、侵害されたコンポーネントは広範囲に影響を及ぼす可能性があります。タイムリーなパッチ適用とアップデートは不可欠であり、毎月または四半期ごとの定期的なパッチ適用スケジュールでさえ、企業は数日から数カ月にわたって危険にさらされる可能性があります。
同様に、統合開発環境(IDE)や、コードリポジトリ、イメージリポジトリ、ライブラリリポジトリ、あるいはサプライチェーンの他の部分に対する変更を追跡していない場合、サプライチェーンにおける変更管理プロセスの欠如が脆弱性を生み出す可能性がある。組織は、アクセス・コントロールと最小特権ポリシーを適用して、サプライ・チェーンを強化する必要がある。
サプライチェーン攻撃は様々な形で行われる可能性がある。悪名高いソーラーウィンズの攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まった。この攻撃により、約18,000社の顧客が影響を受けた。実際に影響を受けた企業の数は100社に近かったが、そのリストには大手企業や政府機関が含まれていた。北朝鮮に端を発した15億ドルのBybitハッキングは、暗号通貨アプリが危険にさらされたものだった。最近のグラスワームのサプライチェーン攻撃は、オープンVSXマーケットプレイスに感染した、目に見えない自己複製コードに関与していた。
サプライチェーンにおける不正行為の防止
サプライチェーン攻撃にはシステムの相互依存性が伴うため、その防御には包括的なアプローチが必要となる。OWASPは、攻撃を防ぐためのヒントを提供している:
- すべてのソフトウェアのソフトウェア部品表(SBOM)を把握し、SBOMを一元管理する。SBOMは、SPDXやCycloneDXなどの標準フォーマットを使用して、後で作成するのではなく、ビルド中に作成し、リリースごとに少なくとも1つの機械可読SBOMを公開するのが最善です。
- 推移的依存関係を含むすべての依存関係を追跡し、使用されていない依存関係や不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- OWASP Dependency Checkや retire.jsなどのツールを使用して、クライアントサイドとサーバーサイドのコンポーネントとその依存関係を継続的にインベントリ化する。
- CVE(Common Vulnerabilities and Exposures)ウェブサイトやNVD(National Vulnerability Database)などの情報源を継続的に監視し、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読して、脆弱性に関する最新情報を入手する。
- 信頼できるソースからのみ、安全なリンクを通じて入手したコンポーネントを使用する。例えば、信頼できるプロバイダーは、リサーチャーがコンポーネントに発見したCVEを開示するために、喜んでリサーチャーと協力するでしょう。
- どのバージョンの依存関係を使うかを意図的に選択し、必要なときだけアップグレードする。NVDのような有名なソースで脆弱性が公表されているサードパーティ・ライブラリと連携する。
- メンテナンスされていない、またはサポートされていないライブラリやコンポーネントを監視する。パッチ適用が不可能な場合は、発見された問題を監視、検出、または保護するための仮想パッチを展開することを検討する。
- 開発者ツールを定期的に更新する。
- CI/CDパイプラインのコンポーネントをこのプロセスの一部として扱い、変更を文書化しながらハードニングと監視を行う。
変更管理や追跡プロセスは、CI/CD設定、コード・リポジトリ、サンドボックス、統合開発者環境(IDE)、SBOMツール、作成された成果物、ロギング・システムとログ、SaaSなどのサードパーティ統合、成果物リポジトリ、コンテナ・レジストリにも適用する必要がある。また、開発者のワークステーションからCI/CDパイプラインまで、システムを堅牢化する必要がある。強力なアイデンティティとアクセス管理ポリシーを実施しながら、多要素認証も必ず有効にしてください。
ソフトウェア・サプライチェーンの障害から保護することは、高度に相互接続された世界を前に、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威を防御するために、アプリケーションとコンポーネントのライフサイクル全体に対して強力な防御策を採用しなければなりません。
SCW Trust Score™ ユーザーの皆様へ:
OWASP Top 10 2025の標準に合わせてLearning Platform コンテンツを更新しているため、フルスタック開発者のTrust Scoreが若干調整される可能性があります。ご質問やサポートが必要な場合は、カスタマー・サクセス担当者までご連絡ください。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード.png)
.png)
.png)
