OWASP Top 10 2025: ソフトウェア・サプライチェーンにおける欠陥
待望のOWASP 2025トップ10の発表に伴い、企業は特に警戒すべき新たな脅威の数々に直面しています。その中でも、リストの頂点に潜む脅威が特に注目されます。ソフトウェア・サプライチェーン上の欠陥は、新たなカテゴリーとして導入されたものの、全く新しいものではない。オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)が発表した、ウェブアプリケーションにとって最も深刻なセキュリティリスクをまとめた4年ごとのリストにおいて、この脅威は第3位にランクインしている。企業がまだ真剣に受け止めていない場合、このリスクを極めて重く捉える必要がある。
ソフトウェアサプライチェーンにおける欠陥は、2021年の以前のリストにあるカテゴリーから派生したものです。脆弱で陳腐化したコンポーネントに加え、依存関係、ビルドシステム、流通インフラストラクチャなど、ソフトウェアエコシステム全体にわたるより広範な侵害対象を含んでいます。 このリストへの登場は、サプライチェーンを標的とした大規模攻撃による被害を考慮すれば驚くべきことではない。2019年のSolarWinds攻撃、今年初めのBybitハッキング、そして現在進行中のShai-Huludキャンペーン—— 特に厄介な自己複製型npmワームであるShai-Huludキャンペーンは、脆弱な開発環境に甚大な被害をもたらしている。
OWASPトップ10は概ね一貫性を保っており、これは4年ごとに発表されるリストにふさわしいものですが、その間には更新が行われています。通常、リスト内では順位変動が見られます。例えば長年上位を占めてきたインジェクションは3位から5位に、不適切な設計は2つ順位を落として6位となり、一方セキュリティ設定ミスは5位から2位に躍進しています。 アクセス制御の不備は依然として首位を維持している。2025年版には2つの新規項目が追加された:前述のソフトウェアサプライチェーン上の脆弱性と、例外状態の不適切な処理(リスト10位)である。ここでは新規項目であるサプライチェーン上の脆弱性について詳しく見ていく。
セキュリティ上の脆弱性はほぼどこにでも発生する可能性がある
ソフトウェアサプライチェーンの脆弱性は、このリストにおいてやや異例のカテゴリーと言える。OWASPの研究データにおいて、10の項目の中で最も発生頻度が低かった一方で、このカテゴリーに含まれる5つの共通脆弱性分類(CWE)から算出された平均的な悪用可能性と影響度の値が最も高かったためである。 OWASPは、このカテゴリーの限定的な存在感は、テストにおける現在の課題に起因すると推測しており、これは最終的に改善される可能性がある。それとは別に、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を主要な問題として挙げた。
サプライチェーンにおけるセキュリティ上の脆弱性の大半は、上流・下流のパートナーや第三者が関与する事業活動の連携から生じます。あらゆる相互作用にはソフトウェアが含まれ、そのコンポーネント(依存関係やライブラリとも呼ばれる)が保護されていない可能性があります。 企業が自社コンポーネント(クライアント側、サーバー側、またはネストされたもの)の全バージョンと、他のライブラリからの推移的依存関係を、脆弱性やサポート終了、陳腐化がないことを確認するために追跡していない場合、脆弱性を抱える可能性があります。 コンポーネントは通常、アプリケーションと同等の権限を持つため、サードパーティ製やオープンソースリポジトリ由来のものを含む侵害されたコンポーネントは広範な影響を及ぼし得る。タイムリーなパッチ適用と更新は不可欠である。月次や四半期ごとの定期的なパッチ計画でさえ、企業が数日から数ヶ月間危険に晒される結果となり得る。
同様に、統合開発環境(IDE)やコードリポジトリ、イメージおよびライブラリリポジトリ、その他のサプライチェーン要素の変更を追跡しない場合、サプライチェーンにおける変更管理プロセスの欠如はセキュリティ上の脆弱性につながる可能性があります。 企業は、アクセス制御と最小権限の原則を適用してサプライチェーンを保護し、誰もコードを作成して監視なしに本番環境にデプロイできないこと、また信頼できないソースからコンポーネントをダウンロードできないことを保証する必要があります。
サプライチェーン攻撃は様々な形態をとりうる。悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアの更新プログラムにマルウェアを仕込んだことから始まった。約18,000の顧客が影響を受けた。実際に被害を受けた企業数は100社程度だったが、このリストには大企業や政府機関も含まれていた。 北朝鮮の関与が指摘された15億ドル相当のバイビットハッキングでは、侵害された仮想通貨アプリが標的となった。最近のグラスワームによるサプライチェーン攻撃では、Open VSX Marketplaceを感染させた目に見えない自己複製コードが関与していた。
サプライチェーンにおける悪用防止
サプライチェーン攻撃はシステムの相互依存性を狙うため、防御には包括的なアプローチが必要です。OWASPは攻撃防止のヒントを提供しており、以下に対するパッチ管理プロセスの構築を含みます:
- ソフトウェアの部品表(SBOM)をソフトウェア全体について確認し、SBOMを一元管理してください。SBOMはビルド時に生成し、後から生成しないことを推奨します。SPDXやCyclonedXなどの標準フォーマットを使用し、バージョンごとに少なくとも1つの機械可読なSBOMを公開してください。
- すべての依存関係(推移的依存関係を含む)を追跡し、未使用の依存関係や不要な機能、コンポーネント、ファイル、ドキュメントを削除してください。
- OWASP依存関係スキャナーやretire.jsなどのツールを使用して、クライアント側およびサーバー側のコンポーネントとその依存関係を継続的にインベントリ化してください。
- セキュリティ脆弱性に関する最新情報を入手し、頻繁に更新される脆弱性情報(CVE)ウェブサイトや国家脆弱性データベース(NVD)などの情報源を継続的に監視してください。また、使用しているコンポーネントに関連する脆弱性に関するメール通知を購読してください。
- 信頼できるソースからのみ、安全なリンクを介してコンポーネントを取得してください。信頼できるプロバイダーとは、例えば、研究者がコンポーネント内で発見したCVEを公開するために、その研究者と協力する意思があるようなプロバイダーを指します。
- 依存関係のバージョンは慎重に選択し、必要な場合にのみアップグレードを実行してください。サードパーティ製ライブラリを使用する場合は、その脆弱性がNVDなどの信頼できる情報源で公開されているものを使用してください。
- ライブラリやコンポーネントがメンテナンスされていない、またはサポートされていない状態を監視してください。パッチ適用が不可能な場合、発見された問題を監視・検知・防御するための仮想パッチの提供を検討すべきです。
- 開発者ツールを定期的に更新してください。
- CI/CDパイプライン内のコンポーネントを、このプロセスの一部として扱い、それらを強化し監視すると同時に変更を記録してください。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、生成されたアーティファクト、ロギングシステムとログ、SaaSなどのサードパーティ統合、アーティファクトリポジトリ、コンテナレジストリにも適用されるべきです。 開発者のワークステーションからCI/CDパイプラインに至るまで、システム全体のセキュリティを確保する必要があります。多要素認証を有効化すると同時に、厳格なIDおよびアクセス管理ポリシーを徹底的に適用してください。
ソフトウェアサプライチェーンの障害に対する防御は、高度に相互接続された現代社会において、多層的で継続的な取り組みである。企業は、この急速に進化する現代的な脅威から身を守るため、アプリケーションとコンポーネントのライフサイクル全体を通じて強力な防御策を講じる必要がある。
SCW Trust Score™ ユーザーへの注意 :
学習プラットフォームのコンテンツをOWASP Top 10 2025基準に適合させるため更新中につき、フルスタック開発者のトラストスコアに若干の変動が生じる場合があります。ご質問やサポートが必要な場合は、担当カスタマーリレーションズ担当者までご連絡ください。
OWASP Top 10 2025は、ソフトウェアサプライチェーンの欠陥を第3位に挙げています。厳格なSBOM(ソフトウェア構成材料)、依存関係の追跡、CI/CDパイプラインの強化を通じて、この重大なリスクを軽減してください。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
待望のOWASP 2025トップ10の発表に伴い、企業は特に警戒すべき新たな脅威の数々に直面しています。その中でも、リストの頂点に潜む脅威が特に注目されます。ソフトウェア・サプライチェーン上の欠陥は、新たなカテゴリーとして導入されたものの、全く新しいものではない。オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)が発表した、ウェブアプリケーションにとって最も深刻なセキュリティリスクをまとめた4年ごとのリストにおいて、この脅威は第3位にランクインしている。企業がまだ真剣に受け止めていない場合、このリスクを極めて重く捉える必要がある。
ソフトウェアサプライチェーンにおける欠陥は、2021年の以前のリストにあるカテゴリーから派生したものです。脆弱で陳腐化したコンポーネントに加え、依存関係、ビルドシステム、流通インフラストラクチャなど、ソフトウェアエコシステム全体にわたるより広範な侵害対象を含んでいます。 このリストへの登場は、サプライチェーンを標的とした大規模攻撃による被害を考慮すれば驚くべきことではない。2019年のSolarWinds攻撃、今年初めのBybitハッキング、そして現在進行中のShai-Huludキャンペーン—— 特に厄介な自己複製型npmワームであるShai-Huludキャンペーンは、脆弱な開発環境に甚大な被害をもたらしている。
OWASPトップ10は概ね一貫性を保っており、これは4年ごとに発表されるリストにふさわしいものですが、その間には更新が行われています。通常、リスト内では順位変動が見られます。例えば長年上位を占めてきたインジェクションは3位から5位に、不適切な設計は2つ順位を落として6位となり、一方セキュリティ設定ミスは5位から2位に躍進しています。 アクセス制御の不備は依然として首位を維持している。2025年版には2つの新規項目が追加された:前述のソフトウェアサプライチェーン上の脆弱性と、例外状態の不適切な処理(リスト10位)である。ここでは新規項目であるサプライチェーン上の脆弱性について詳しく見ていく。
セキュリティ上の脆弱性はほぼどこにでも発生する可能性がある
ソフトウェアサプライチェーンの脆弱性は、このリストにおいてやや異例のカテゴリーと言える。OWASPの研究データにおいて、10の項目の中で最も発生頻度が低かった一方で、このカテゴリーに含まれる5つの共通脆弱性分類(CWE)から算出された平均的な悪用可能性と影響度の値が最も高かったためである。 OWASPは、このカテゴリーの限定的な存在感は、テストにおける現在の課題に起因すると推測しており、これは最終的に改善される可能性がある。それとは別に、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を主要な問題として挙げた。
サプライチェーンにおけるセキュリティ上の脆弱性の大半は、上流・下流のパートナーや第三者が関与する事業活動の連携から生じます。あらゆる相互作用にはソフトウェアが含まれ、そのコンポーネント(依存関係やライブラリとも呼ばれる)が保護されていない可能性があります。 企業が自社コンポーネント(クライアント側、サーバー側、またはネストされたもの)の全バージョンと、他のライブラリからの推移的依存関係を、脆弱性やサポート終了、陳腐化がないことを確認するために追跡していない場合、脆弱性を抱える可能性があります。 コンポーネントは通常、アプリケーションと同等の権限を持つため、サードパーティ製やオープンソースリポジトリ由来のものを含む侵害されたコンポーネントは広範な影響を及ぼし得る。タイムリーなパッチ適用と更新は不可欠である。月次や四半期ごとの定期的なパッチ計画でさえ、企業が数日から数ヶ月間危険に晒される結果となり得る。
同様に、統合開発環境(IDE)やコードリポジトリ、イメージおよびライブラリリポジトリ、その他のサプライチェーン要素の変更を追跡しない場合、サプライチェーンにおける変更管理プロセスの欠如はセキュリティ上の脆弱性につながる可能性があります。 企業は、アクセス制御と最小権限の原則を適用してサプライチェーンを保護し、誰もコードを作成して監視なしに本番環境にデプロイできないこと、また信頼できないソースからコンポーネントをダウンロードできないことを保証する必要があります。
サプライチェーン攻撃は様々な形態をとりうる。悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアの更新プログラムにマルウェアを仕込んだことから始まった。約18,000の顧客が影響を受けた。実際に被害を受けた企業数は100社程度だったが、このリストには大企業や政府機関も含まれていた。 北朝鮮の関与が指摘された15億ドル相当のバイビットハッキングでは、侵害された仮想通貨アプリが標的となった。最近のグラスワームによるサプライチェーン攻撃では、Open VSX Marketplaceを感染させた目に見えない自己複製コードが関与していた。
サプライチェーンにおける悪用防止
サプライチェーン攻撃はシステムの相互依存性を狙うため、防御には包括的なアプローチが必要です。OWASPは攻撃防止のヒントを提供しており、以下に対するパッチ管理プロセスの構築を含みます:
- ソフトウェアの部品表(SBOM)をソフトウェア全体について確認し、SBOMを一元管理してください。SBOMはビルド時に生成し、後から生成しないことを推奨します。SPDXやCyclonedXなどの標準フォーマットを使用し、バージョンごとに少なくとも1つの機械可読なSBOMを公開してください。
- すべての依存関係(推移的依存関係を含む)を追跡し、未使用の依存関係や不要な機能、コンポーネント、ファイル、ドキュメントを削除してください。
- OWASP依存関係スキャナーやretire.jsなどのツールを使用して、クライアント側およびサーバー側のコンポーネントとその依存関係を継続的にインベントリ化してください。
- セキュリティ脆弱性に関する最新情報を入手し、頻繁に更新される脆弱性情報(CVE)ウェブサイトや国家脆弱性データベース(NVD)などの情報源を継続的に監視してください。また、使用しているコンポーネントに関連する脆弱性に関するメール通知を購読してください。
- 信頼できるソースからのみ、安全なリンクを介してコンポーネントを取得してください。信頼できるプロバイダーとは、例えば、研究者がコンポーネント内で発見したCVEを公開するために、その研究者と協力する意思があるようなプロバイダーを指します。
- 依存関係のバージョンは慎重に選択し、必要な場合にのみアップグレードを実行してください。サードパーティ製ライブラリを使用する場合は、その脆弱性がNVDなどの信頼できる情報源で公開されているものを使用してください。
- ライブラリやコンポーネントがメンテナンスされていない、またはサポートされていない状態を監視してください。パッチ適用が不可能な場合、発見された問題を監視・検知・防御するための仮想パッチの提供を検討すべきです。
- 開発者ツールを定期的に更新してください。
- CI/CDパイプライン内のコンポーネントを、このプロセスの一部として扱い、それらを強化し監視すると同時に変更を記録してください。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、生成されたアーティファクト、ロギングシステムとログ、SaaSなどのサードパーティ統合、アーティファクトリポジトリ、コンテナレジストリにも適用されるべきです。 開発者のワークステーションからCI/CDパイプラインに至るまで、システム全体のセキュリティを確保する必要があります。多要素認証を有効化すると同時に、厳格なIDおよびアクセス管理ポリシーを徹底的に適用してください。
ソフトウェアサプライチェーンの障害に対する防御は、高度に相互接続された現代社会において、多層的で継続的な取り組みである。企業は、この急速に進化する現代的な脅威から身を守るため、アプリケーションとコンポーネントのライフサイクル全体を通じて強力な防御策を講じる必要がある。
SCW Trust Score™ ユーザーへの注意 :
学習プラットフォームのコンテンツをOWASP Top 10 2025基準に適合させるため更新中につき、フルスタック開発者のトラストスコアに若干の変動が生じる場合があります。ご質問やサポートが必要な場合は、担当カスタマーリレーションズ担当者までご連絡ください。
待望のOWASP 2025トップ10の発表に伴い、企業は特に警戒すべき新たな脅威の数々に直面しています。その中でも、リストの頂点に潜む脅威が特に注目されます。ソフトウェア・サプライチェーン上の欠陥は、新たなカテゴリーとして導入されたものの、全く新しいものではない。オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)が発表した、ウェブアプリケーションにとって最も深刻なセキュリティリスクをまとめた4年ごとのリストにおいて、この脅威は第3位にランクインしている。企業がまだ真剣に受け止めていない場合、このリスクを極めて重く捉える必要がある。
ソフトウェアサプライチェーンにおける欠陥は、2021年の以前のリストにあるカテゴリーから派生したものです。脆弱で陳腐化したコンポーネントに加え、依存関係、ビルドシステム、流通インフラストラクチャなど、ソフトウェアエコシステム全体にわたるより広範な侵害対象を含んでいます。 このリストへの登場は、サプライチェーンを標的とした大規模攻撃による被害を考慮すれば驚くべきことではない。2019年のSolarWinds攻撃、今年初めのBybitハッキング、そして現在進行中のShai-Huludキャンペーン—— 特に厄介な自己複製型npmワームであるShai-Huludキャンペーンは、脆弱な開発環境に甚大な被害をもたらしている。
OWASPトップ10は概ね一貫性を保っており、これは4年ごとに発表されるリストにふさわしいものですが、その間には更新が行われています。通常、リスト内では順位変動が見られます。例えば長年上位を占めてきたインジェクションは3位から5位に、不適切な設計は2つ順位を落として6位となり、一方セキュリティ設定ミスは5位から2位に躍進しています。 アクセス制御の不備は依然として首位を維持している。2025年版には2つの新規項目が追加された:前述のソフトウェアサプライチェーン上の脆弱性と、例外状態の不適切な処理(リスト10位)である。ここでは新規項目であるサプライチェーン上の脆弱性について詳しく見ていく。
セキュリティ上の脆弱性はほぼどこにでも発生する可能性がある
ソフトウェアサプライチェーンの脆弱性は、このリストにおいてやや異例のカテゴリーと言える。OWASPの研究データにおいて、10の項目の中で最も発生頻度が低かった一方で、このカテゴリーに含まれる5つの共通脆弱性分類(CWE)から算出された平均的な悪用可能性と影響度の値が最も高かったためである。 OWASPは、このカテゴリーの限定的な存在感は、テストにおける現在の課題に起因すると推測しており、これは最終的に改善される可能性がある。それとは別に、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を主要な問題として挙げた。
サプライチェーンにおけるセキュリティ上の脆弱性の大半は、上流・下流のパートナーや第三者が関与する事業活動の連携から生じます。あらゆる相互作用にはソフトウェアが含まれ、そのコンポーネント(依存関係やライブラリとも呼ばれる)が保護されていない可能性があります。 企業が自社コンポーネント(クライアント側、サーバー側、またはネストされたもの)の全バージョンと、他のライブラリからの推移的依存関係を、脆弱性やサポート終了、陳腐化がないことを確認するために追跡していない場合、脆弱性を抱える可能性があります。 コンポーネントは通常、アプリケーションと同等の権限を持つため、サードパーティ製やオープンソースリポジトリ由来のものを含む侵害されたコンポーネントは広範な影響を及ぼし得る。タイムリーなパッチ適用と更新は不可欠である。月次や四半期ごとの定期的なパッチ計画でさえ、企業が数日から数ヶ月間危険に晒される結果となり得る。
同様に、統合開発環境(IDE)やコードリポジトリ、イメージおよびライブラリリポジトリ、その他のサプライチェーン要素の変更を追跡しない場合、サプライチェーンにおける変更管理プロセスの欠如はセキュリティ上の脆弱性につながる可能性があります。 企業は、アクセス制御と最小権限の原則を適用してサプライチェーンを保護し、誰もコードを作成して監視なしに本番環境にデプロイできないこと、また信頼できないソースからコンポーネントをダウンロードできないことを保証する必要があります。
サプライチェーン攻撃は様々な形態をとりうる。悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアの更新プログラムにマルウェアを仕込んだことから始まった。約18,000の顧客が影響を受けた。実際に被害を受けた企業数は100社程度だったが、このリストには大企業や政府機関も含まれていた。 北朝鮮の関与が指摘された15億ドル相当のバイビットハッキングでは、侵害された仮想通貨アプリが標的となった。最近のグラスワームによるサプライチェーン攻撃では、Open VSX Marketplaceを感染させた目に見えない自己複製コードが関与していた。
サプライチェーンにおける悪用防止
サプライチェーン攻撃はシステムの相互依存性を狙うため、防御には包括的なアプローチが必要です。OWASPは攻撃防止のヒントを提供しており、以下に対するパッチ管理プロセスの構築を含みます:
- ソフトウェアの部品表(SBOM)をソフトウェア全体について確認し、SBOMを一元管理してください。SBOMはビルド時に生成し、後から生成しないことを推奨します。SPDXやCyclonedXなどの標準フォーマットを使用し、バージョンごとに少なくとも1つの機械可読なSBOMを公開してください。
- すべての依存関係(推移的依存関係を含む)を追跡し、未使用の依存関係や不要な機能、コンポーネント、ファイル、ドキュメントを削除してください。
- OWASP依存関係スキャナーやretire.jsなどのツールを使用して、クライアント側およびサーバー側のコンポーネントとその依存関係を継続的にインベントリ化してください。
- セキュリティ脆弱性に関する最新情報を入手し、頻繁に更新される脆弱性情報(CVE)ウェブサイトや国家脆弱性データベース(NVD)などの情報源を継続的に監視してください。また、使用しているコンポーネントに関連する脆弱性に関するメール通知を購読してください。
- 信頼できるソースからのみ、安全なリンクを介してコンポーネントを取得してください。信頼できるプロバイダーとは、例えば、研究者がコンポーネント内で発見したCVEを公開するために、その研究者と協力する意思があるようなプロバイダーを指します。
- 依存関係のバージョンは慎重に選択し、必要な場合にのみアップグレードを実行してください。サードパーティ製ライブラリを使用する場合は、その脆弱性がNVDなどの信頼できる情報源で公開されているものを使用してください。
- ライブラリやコンポーネントがメンテナンスされていない、またはサポートされていない状態を監視してください。パッチ適用が不可能な場合、発見された問題を監視・検知・防御するための仮想パッチの提供を検討すべきです。
- 開発者ツールを定期的に更新してください。
- CI/CDパイプライン内のコンポーネントを、このプロセスの一部として扱い、それらを強化し監視すると同時に変更を記録してください。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、生成されたアーティファクト、ロギングシステムとログ、SaaSなどのサードパーティ統合、アーティファクトリポジトリ、コンテナレジストリにも適用されるべきです。 開発者のワークステーションからCI/CDパイプラインに至るまで、システム全体のセキュリティを確保する必要があります。多要素認証を有効化すると同時に、厳格なIDおよびアクセス管理ポリシーを徹底的に適用してください。
ソフトウェアサプライチェーンの障害に対する防御は、高度に相互接続された現代社会において、多層的で継続的な取り組みである。企業は、この急速に進化する現代的な脅威から身を守るため、アプリケーションとコンポーネントのライフサイクル全体を通じて強力な防御策を講じる必要がある。
SCW Trust Score™ ユーザーへの注意 :
学習プラットフォームのコンテンツをOWASP Top 10 2025基準に適合させるため更新中につき、フルスタック開発者のトラストスコアに若干の変動が生じる場合があります。ご質問やサポートが必要な場合は、担当カスタマーリレーションズ担当者までご連絡ください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
待望のOWASP 2025トップ10の発表に伴い、企業は特に警戒すべき新たな脅威の数々に直面しています。その中でも、リストの頂点に潜む脅威が特に注目されます。ソフトウェア・サプライチェーン上の欠陥は、新たなカテゴリーとして導入されたものの、全く新しいものではない。オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)が発表した、ウェブアプリケーションにとって最も深刻なセキュリティリスクをまとめた4年ごとのリストにおいて、この脅威は第3位にランクインしている。企業がまだ真剣に受け止めていない場合、このリスクを極めて重く捉える必要がある。
ソフトウェアサプライチェーンにおける欠陥は、2021年の以前のリストにあるカテゴリーから派生したものです。脆弱で陳腐化したコンポーネントに加え、依存関係、ビルドシステム、流通インフラストラクチャなど、ソフトウェアエコシステム全体にわたるより広範な侵害対象を含んでいます。 このリストへの登場は、サプライチェーンを標的とした大規模攻撃による被害を考慮すれば驚くべきことではない。2019年のSolarWinds攻撃、今年初めのBybitハッキング、そして現在進行中のShai-Huludキャンペーン—— 特に厄介な自己複製型npmワームであるShai-Huludキャンペーンは、脆弱な開発環境に甚大な被害をもたらしている。
OWASPトップ10は概ね一貫性を保っており、これは4年ごとに発表されるリストにふさわしいものですが、その間には更新が行われています。通常、リスト内では順位変動が見られます。例えば長年上位を占めてきたインジェクションは3位から5位に、不適切な設計は2つ順位を落として6位となり、一方セキュリティ設定ミスは5位から2位に躍進しています。 アクセス制御の不備は依然として首位を維持している。2025年版には2つの新規項目が追加された:前述のソフトウェアサプライチェーン上の脆弱性と、例外状態の不適切な処理(リスト10位)である。ここでは新規項目であるサプライチェーン上の脆弱性について詳しく見ていく。
セキュリティ上の脆弱性はほぼどこにでも発生する可能性がある
ソフトウェアサプライチェーンの脆弱性は、このリストにおいてやや異例のカテゴリーと言える。OWASPの研究データにおいて、10の項目の中で最も発生頻度が低かった一方で、このカテゴリーに含まれる5つの共通脆弱性分類(CWE)から算出された平均的な悪用可能性と影響度の値が最も高かったためである。 OWASPは、このカテゴリーの限定的な存在感は、テストにおける現在の課題に起因すると推測しており、これは最終的に改善される可能性がある。それとは別に、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を主要な問題として挙げた。
サプライチェーンにおけるセキュリティ上の脆弱性の大半は、上流・下流のパートナーや第三者が関与する事業活動の連携から生じます。あらゆる相互作用にはソフトウェアが含まれ、そのコンポーネント(依存関係やライブラリとも呼ばれる)が保護されていない可能性があります。 企業が自社コンポーネント(クライアント側、サーバー側、またはネストされたもの)の全バージョンと、他のライブラリからの推移的依存関係を、脆弱性やサポート終了、陳腐化がないことを確認するために追跡していない場合、脆弱性を抱える可能性があります。 コンポーネントは通常、アプリケーションと同等の権限を持つため、サードパーティ製やオープンソースリポジトリ由来のものを含む侵害されたコンポーネントは広範な影響を及ぼし得る。タイムリーなパッチ適用と更新は不可欠である。月次や四半期ごとの定期的なパッチ計画でさえ、企業が数日から数ヶ月間危険に晒される結果となり得る。
同様に、統合開発環境(IDE)やコードリポジトリ、イメージおよびライブラリリポジトリ、その他のサプライチェーン要素の変更を追跡しない場合、サプライチェーンにおける変更管理プロセスの欠如はセキュリティ上の脆弱性につながる可能性があります。 企業は、アクセス制御と最小権限の原則を適用してサプライチェーンを保護し、誰もコードを作成して監視なしに本番環境にデプロイできないこと、また信頼できないソースからコンポーネントをダウンロードできないことを保証する必要があります。
サプライチェーン攻撃は様々な形態をとりうる。悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアの更新プログラムにマルウェアを仕込んだことから始まった。約18,000の顧客が影響を受けた。実際に被害を受けた企業数は100社程度だったが、このリストには大企業や政府機関も含まれていた。 北朝鮮の関与が指摘された15億ドル相当のバイビットハッキングでは、侵害された仮想通貨アプリが標的となった。最近のグラスワームによるサプライチェーン攻撃では、Open VSX Marketplaceを感染させた目に見えない自己複製コードが関与していた。
サプライチェーンにおける悪用防止
サプライチェーン攻撃はシステムの相互依存性を狙うため、防御には包括的なアプローチが必要です。OWASPは攻撃防止のヒントを提供しており、以下に対するパッチ管理プロセスの構築を含みます:
- ソフトウェアの部品表(SBOM)をソフトウェア全体について確認し、SBOMを一元管理してください。SBOMはビルド時に生成し、後から生成しないことを推奨します。SPDXやCyclonedXなどの標準フォーマットを使用し、バージョンごとに少なくとも1つの機械可読なSBOMを公開してください。
- すべての依存関係(推移的依存関係を含む)を追跡し、未使用の依存関係や不要な機能、コンポーネント、ファイル、ドキュメントを削除してください。
- OWASP依存関係スキャナーやretire.jsなどのツールを使用して、クライアント側およびサーバー側のコンポーネントとその依存関係を継続的にインベントリ化してください。
- セキュリティ脆弱性に関する最新情報を入手し、頻繁に更新される脆弱性情報(CVE)ウェブサイトや国家脆弱性データベース(NVD)などの情報源を継続的に監視してください。また、使用しているコンポーネントに関連する脆弱性に関するメール通知を購読してください。
- 信頼できるソースからのみ、安全なリンクを介してコンポーネントを取得してください。信頼できるプロバイダーとは、例えば、研究者がコンポーネント内で発見したCVEを公開するために、その研究者と協力する意思があるようなプロバイダーを指します。
- 依存関係のバージョンは慎重に選択し、必要な場合にのみアップグレードを実行してください。サードパーティ製ライブラリを使用する場合は、その脆弱性がNVDなどの信頼できる情報源で公開されているものを使用してください。
- ライブラリやコンポーネントがメンテナンスされていない、またはサポートされていない状態を監視してください。パッチ適用が不可能な場合、発見された問題を監視・検知・防御するための仮想パッチの提供を検討すべきです。
- 開発者ツールを定期的に更新してください。
- CI/CDパイプライン内のコンポーネントを、このプロセスの一部として扱い、それらを強化し監視すると同時に変更を記録してください。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、生成されたアーティファクト、ロギングシステムとログ、SaaSなどのサードパーティ統合、アーティファクトリポジトリ、コンテナレジストリにも適用されるべきです。 開発者のワークステーションからCI/CDパイプラインに至るまで、システム全体のセキュリティを確保する必要があります。多要素認証を有効化すると同時に、厳格なIDおよびアクセス管理ポリシーを徹底的に適用してください。
ソフトウェアサプライチェーンの障害に対する防御は、高度に相互接続された現代社会において、多層的で継続的な取り組みである。企業は、この急速に進化する現代的な脅威から身を守るため、アプリケーションとコンポーネントのライフサイクル全体を通じて強力な防御策を講じる必要がある。
SCW Trust Score™ ユーザーへの注意 :
学習プラットフォームのコンテンツをOWASP Top 10 2025基準に適合させるため更新中につき、フルスタック開発者のトラストスコアに若干の変動が生じる場合があります。ご質問やサポートが必要な場合は、担当カスタマーリレーションズ担当者までご連絡ください。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
