OWASPトップ10 2025:ソフトウェアのサプライチェーンにおける欠陥
待望の「OWASPトップ10 2025」の発表に伴い、企業は特に警戒すべき新たな脅威をいくつか抱えることになった。その中にはリストのトップに位置する脅威も含まれている。ソフトウェアのサプライチェーン上の欠陥は、新たなカテゴリーとして登場したものの、全く新しいものではない。この脅威は、ウェブアプリケーションのセキュリティにとって最も深刻なリスクをまとめたOpen Web Application Security Project(OWASP)の4年ごとのリストで第3位を占めている。企業がまだ対応していない場合、このリスクを非常に深刻に受け止める必要がある。
ソフトウェアのサプライチェーンにおける欠陥は、2021年以前のリストのカテゴリー「脆弱で古いコンポーネント」から外れ、現在はソフトウェア依存関係エコシステム全体、ビルドシステム、配布インフラストラクチャにおけるより広範な侵害を含むようになりました。 この項目がリストに追加されたことは、特に驚くべきことではない。2019年の「Solarwinds」攻撃、今年初めの「Bybitハッキング」、そして現在進行中の「Shai-Huludキャンペーン」といった著名なサプライチェーン攻撃が引き起こした被害を考えれば当然である。特に「Shai-Hulud」は、npmを標的とした自己複製型の厄介なワームであり、脆弱な開発環境を荒らし回っている。
概して、OWASPのトップ10は安定しており、4年ごとに発表されるリストに合致しています(中間更新はあります)。通常、リストにはいくつかの変化が見られます。例えば、長年上位にいた「インジェクション」は3位から5位に下落し、「不安全な設計」は2つ順位を落として6位となりました。一方、「セキュリティ設定の不備」は5位から2位に上昇しています。 アクセス制御の不備は依然として首位を維持している。2025年版には2つの新規項目が追加された。前述の「ソフトウェア供給チェーンの欠陥」と「例外状態の不適切な処理」が10位で初登場した。次に、新たに追加された供給チェーン脆弱性について詳しく分析する。
脆弱性はほぼあらゆる場所に現れる可能性がある
ソフトウェアのサプライチェーンにおける欠陥は、このリストではやや異例のカテゴリーである。10項目中、OWASP調査データにおける事例数が最も少ない一方で、このカテゴリーに含まれる5つの共通脆弱性分類(CWE)項目がもたらすエクスプロイトと影響の平均スコアが最も高くなっている。 OWASPは、このカテゴリの事例が少ないのは現在のテスト手法の困難さに起因すると推測しており、これは時間の経過とともに改善される可能性があるとしています。いずれにせよ、回答者の圧倒的多数がソフトウェアサプライチェーンの脆弱性を主要な懸念事項の一つとして挙げています。
サプライチェーンの脆弱性の大半は、上流・下流のパートナーや第三者を巻き込む、相互接続されたビジネスの性質に起因します。 各インタラクションにはソフトウェアが関与し、そのコンポーネント(依存関係やライブラリとも呼ばれる)が保護されていない可能性があります。企業は、自社コンポーネント(クライアントサイド、サーバーサイド、ネストされたもの)の全バージョンや、トランジティブ依存関係(他のライブラリからのもの)を追跡せず、それらが脆弱でないか、互換性がないか、古くなっていないかを確認しない場合、脆弱になる可能性があります。 コンポーネントは通常、アプリケーションと同等の権限を持つため、サードパーティやオープンソースリポジトリ由来のものを含む侵害されたコンポーネントは広範な影響を及ぼす可能性があります。パッチや更新をタイムリーに適用することが極めて重要です。月次や四半期ごとの定期的なパッチ適用プログラムでさえ、企業を数日あるいは数ヶ月間、危険に晒す可能性があります。
同様に、サプライチェーンにおける変更管理プロセスが欠如していると、統合開発環境(IDE)やコードリポジトリ、イメージリポジトリ、ライブラリ、その他のサプライチェーン要素の変更を追跡していない場合、脆弱性が生じる可能性があります。 組織は、アクセス制御ポリシーと最小権限の原則を適用することでサプライチェーンを強化する必要があります。これにより、いかなる者も監視なしにコードを作成して本番環境にデプロイできないこと、また信頼できないソースからコンポーネントをダウンロードできないことを保証します。
サプライチェーン攻撃は様々な形態をとりうる。有名なSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアの更新プログラムにマルウェアを注入したことから始まった。約18,000の顧客が影響を受けた。実際に被害を受けた企業数は100社近くに上ったが、そのリストには主要企業や政府機関が含まれていた。 15億ドルの被害をもたらしたBybitハッキング事件(北朝鮮が関与したとされる)では、暗号通貨アプリが侵害された。最近の「Crystal Worm」サプライチェーン攻撃では、Open VSX Marketplaceを感染させた目に見えない自己複製コードが使用された。
サプライチェーンにおける脆弱性の予防
サプライチェーンへの攻撃はシステムの相互依存性を伴うため、その防御には包括的なアプローチが必要です。OWASPは攻撃を防止するための助言を提供しており、これには以下の目的のためのパッチ管理プロセスの実装が含まれます:
- すべてのソフトウェアのソフトウェア部品表(SBOM)を把握し、SBOMを一元管理します。SBOMは後工程ではなくビルド時に生成し、SPDXやCyclonedXなどの標準フォーマットを使用し、バージョンごとに少なくとも1つの機械可読SBOMを公開することが望ましいです。
- すべての依存関係(推移的依存関係を含む)を追跡し、未使用の依存関係や不要な関数、コンポーネント、ファイル、ドキュメントを削除してください。
- クライアント側およびサーバー側のコンポーネントとその依存関係を、OWASP Dependency Scannerやretire.jsなどのツールを用いて継続的に棚卸ししてください。
- 脆弱性に関する最新情報を入手し、共通脆弱性情報(CVE)や国家脆弱性データベース(NVD)などの情報源を継続的に監視してください。また、使用しているコンポーネントに関連するセキュリティ脆弱性に関するメールアラートを購読してください。
- 信頼できるソースからのみ、安全なリンクを通じて取得したコンポーネントを使用してください。例えば、信頼できるベンダーは、研究者がコンポーネントで発見したCVEを公表するために、その研究者と協力する用意があるでしょう。
- 依存関係のバージョンは慎重に選択し、必要な場合にのみ更新してください。サードパーティ製ライブラリは、NVDなどの信頼できる情報源で脆弱性が公開されているものを使用してください。
- 非メンテナンスまたは非互換のライブラリおよびコンポーネントを監視します。パッチの適用が不可能な場合、発見された問題を監視、検出、または防御するための仮想パッチの実装を検討してください。
- 開発者向けツールを定期的に更新します。
- CI/CDパイプラインのコンポーネントをこのプロセスの一部として扱い、変更を記録しながら強化と監視を継続してください。
変更管理または追跡プロセスは、CI/CD構成、コードリポジトリ、テスト環境、統合開発環境(IDE)、SBOMツール、生成されたアーティファクト、レジストリシステムとログ、SaaSなどのサードパーティ統合、アーティファクトリポジトリ、コンテナレジストリにも適用されるべきです。 開発者ワークステーションからCI/CDプロセスに至るシステム全体の強化も必要です。多要素認証を有効化すると同時に、堅牢なIDおよびアクセス管理ポリシーを適用してください。
ソフトウェアサプライチェーンの欠陥に対する防御は、高度に相互接続された現代社会において継続的かつ多面的な取り組みである。組織は、この急速に進化する現代的な脅威に対抗するため、アプリケーションとコンポーネントのライフサイクル全体を通じて強固な防御策を講じる必要がある。
SCW Trust Score™ ユーザーへの注意 :
当社の学習プラットフォームのコンテンツをOWASP Top 10 2025基準に準拠させるため更新する過程で、フルスタック開発者の信頼スコアに若干の変動が生じる可能性があります。ご質問やサポートが必要な場合は、カスタマーサクセス担当者までご連絡ください。
OWASP Top 10 2025は、ソフトウェアのサプライチェーン上の欠陥を第3位に位置づけています。SBOMの厳格な適用、依存関係の追跡、CI/CDパイプラインの強化を通じて、この高影響リスクを軽減してください。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
待望の「OWASPトップ10 2025」の発表に伴い、企業は特に警戒すべき新たな脅威をいくつか抱えることになった。その中にはリストのトップに位置する脅威も含まれている。ソフトウェアのサプライチェーン上の欠陥は、新たなカテゴリーとして登場したものの、全く新しいものではない。この脅威は、ウェブアプリケーションのセキュリティにとって最も深刻なリスクをまとめたOpen Web Application Security Project(OWASP)の4年ごとのリストで第3位を占めている。企業がまだ対応していない場合、このリスクを非常に深刻に受け止める必要がある。
ソフトウェアのサプライチェーンにおける欠陥は、2021年以前のリストのカテゴリー「脆弱で古いコンポーネント」から外れ、現在はソフトウェア依存関係エコシステム全体、ビルドシステム、配布インフラストラクチャにおけるより広範な侵害を含むようになりました。 この項目がリストに追加されたことは、特に驚くべきことではない。2019年の「Solarwinds」攻撃、今年初めの「Bybitハッキング」、そして現在進行中の「Shai-Huludキャンペーン」といった著名なサプライチェーン攻撃が引き起こした被害を考えれば当然である。特に「Shai-Hulud」は、npmを標的とした自己複製型の厄介なワームであり、脆弱な開発環境を荒らし回っている。
概して、OWASPのトップ10は安定しており、4年ごとに発表されるリストに合致しています(中間更新はあります)。通常、リストにはいくつかの変化が見られます。例えば、長年上位にいた「インジェクション」は3位から5位に下落し、「不安全な設計」は2つ順位を落として6位となりました。一方、「セキュリティ設定の不備」は5位から2位に上昇しています。 アクセス制御の不備は依然として首位を維持している。2025年版には2つの新規項目が追加された。前述の「ソフトウェア供給チェーンの欠陥」と「例外状態の不適切な処理」が10位で初登場した。次に、新たに追加された供給チェーン脆弱性について詳しく分析する。
脆弱性はほぼあらゆる場所に現れる可能性がある
ソフトウェアのサプライチェーンにおける欠陥は、このリストではやや異例のカテゴリーである。10項目中、OWASP調査データにおける事例数が最も少ない一方で、このカテゴリーに含まれる5つの共通脆弱性分類(CWE)項目がもたらすエクスプロイトと影響の平均スコアが最も高くなっている。 OWASPは、このカテゴリの事例が少ないのは現在のテスト手法の困難さに起因すると推測しており、これは時間の経過とともに改善される可能性があるとしています。いずれにせよ、回答者の圧倒的多数がソフトウェアサプライチェーンの脆弱性を主要な懸念事項の一つとして挙げています。
サプライチェーンの脆弱性の大半は、上流・下流のパートナーや第三者を巻き込む、相互接続されたビジネスの性質に起因します。 各インタラクションにはソフトウェアが関与し、そのコンポーネント(依存関係やライブラリとも呼ばれる)が保護されていない可能性があります。企業は、自社コンポーネント(クライアントサイド、サーバーサイド、ネストされたもの)の全バージョンや、トランジティブ依存関係(他のライブラリからのもの)を追跡せず、それらが脆弱でないか、互換性がないか、古くなっていないかを確認しない場合、脆弱になる可能性があります。 コンポーネントは通常、アプリケーションと同等の権限を持つため、サードパーティやオープンソースリポジトリ由来のものを含む侵害されたコンポーネントは広範な影響を及ぼす可能性があります。パッチや更新をタイムリーに適用することが極めて重要です。月次や四半期ごとの定期的なパッチ適用プログラムでさえ、企業を数日あるいは数ヶ月間、危険に晒す可能性があります。
同様に、サプライチェーンにおける変更管理プロセスが欠如していると、統合開発環境(IDE)やコードリポジトリ、イメージリポジトリ、ライブラリ、その他のサプライチェーン要素の変更を追跡していない場合、脆弱性が生じる可能性があります。 組織は、アクセス制御ポリシーと最小権限の原則を適用することでサプライチェーンを強化する必要があります。これにより、いかなる者も監視なしにコードを作成して本番環境にデプロイできないこと、また信頼できないソースからコンポーネントをダウンロードできないことを保証します。
サプライチェーン攻撃は様々な形態をとりうる。有名なSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアの更新プログラムにマルウェアを注入したことから始まった。約18,000の顧客が影響を受けた。実際に被害を受けた企業数は100社近くに上ったが、そのリストには主要企業や政府機関が含まれていた。 15億ドルの被害をもたらしたBybitハッキング事件(北朝鮮が関与したとされる)では、暗号通貨アプリが侵害された。最近の「Crystal Worm」サプライチェーン攻撃では、Open VSX Marketplaceを感染させた目に見えない自己複製コードが使用された。
サプライチェーンにおける脆弱性の予防
サプライチェーンへの攻撃はシステムの相互依存性を伴うため、その防御には包括的なアプローチが必要です。OWASPは攻撃を防止するための助言を提供しており、これには以下の目的のためのパッチ管理プロセスの実装が含まれます:
- すべてのソフトウェアのソフトウェア部品表(SBOM)を把握し、SBOMを一元管理します。SBOMは後工程ではなくビルド時に生成し、SPDXやCyclonedXなどの標準フォーマットを使用し、バージョンごとに少なくとも1つの機械可読SBOMを公開することが望ましいです。
- すべての依存関係(推移的依存関係を含む)を追跡し、未使用の依存関係や不要な関数、コンポーネント、ファイル、ドキュメントを削除してください。
- クライアント側およびサーバー側のコンポーネントとその依存関係を、OWASP Dependency Scannerやretire.jsなどのツールを用いて継続的に棚卸ししてください。
- 脆弱性に関する最新情報を入手し、共通脆弱性情報(CVE)や国家脆弱性データベース(NVD)などの情報源を継続的に監視してください。また、使用しているコンポーネントに関連するセキュリティ脆弱性に関するメールアラートを購読してください。
- 信頼できるソースからのみ、安全なリンクを通じて取得したコンポーネントを使用してください。例えば、信頼できるベンダーは、研究者がコンポーネントで発見したCVEを公表するために、その研究者と協力する用意があるでしょう。
- 依存関係のバージョンは慎重に選択し、必要な場合にのみ更新してください。サードパーティ製ライブラリは、NVDなどの信頼できる情報源で脆弱性が公開されているものを使用してください。
- 非メンテナンスまたは非互換のライブラリおよびコンポーネントを監視します。パッチの適用が不可能な場合、発見された問題を監視、検出、または防御するための仮想パッチの実装を検討してください。
- 開発者向けツールを定期的に更新します。
- CI/CDパイプラインのコンポーネントをこのプロセスの一部として扱い、変更を記録しながら強化と監視を継続してください。
変更管理または追跡プロセスは、CI/CD構成、コードリポジトリ、テスト環境、統合開発環境(IDE)、SBOMツール、生成されたアーティファクト、レジストリシステムとログ、SaaSなどのサードパーティ統合、アーティファクトリポジトリ、コンテナレジストリにも適用されるべきです。 開発者ワークステーションからCI/CDプロセスに至るシステム全体の強化も必要です。多要素認証を有効化すると同時に、堅牢なIDおよびアクセス管理ポリシーを適用してください。
ソフトウェアサプライチェーンの欠陥に対する防御は、高度に相互接続された現代社会において継続的かつ多面的な取り組みである。組織は、この急速に進化する現代的な脅威に対抗するため、アプリケーションとコンポーネントのライフサイクル全体を通じて強固な防御策を講じる必要がある。
SCW Trust Score™ ユーザーへの注意 :
当社の学習プラットフォームのコンテンツをOWASP Top 10 2025基準に準拠させるため更新する過程で、フルスタック開発者の信頼スコアに若干の変動が生じる可能性があります。ご質問やサポートが必要な場合は、カスタマーサクセス担当者までご連絡ください。
待望の「OWASPトップ10 2025」の発表に伴い、企業は特に警戒すべき新たな脅威をいくつか抱えることになった。その中にはリストのトップに位置する脅威も含まれている。ソフトウェアのサプライチェーン上の欠陥は、新たなカテゴリーとして登場したものの、全く新しいものではない。この脅威は、ウェブアプリケーションのセキュリティにとって最も深刻なリスクをまとめたOpen Web Application Security Project(OWASP)の4年ごとのリストで第3位を占めている。企業がまだ対応していない場合、このリスクを非常に深刻に受け止める必要がある。
ソフトウェアのサプライチェーンにおける欠陥は、2021年以前のリストのカテゴリー「脆弱で古いコンポーネント」から外れ、現在はソフトウェア依存関係エコシステム全体、ビルドシステム、配布インフラストラクチャにおけるより広範な侵害を含むようになりました。 この項目がリストに追加されたことは、特に驚くべきことではない。2019年の「Solarwinds」攻撃、今年初めの「Bybitハッキング」、そして現在進行中の「Shai-Huludキャンペーン」といった著名なサプライチェーン攻撃が引き起こした被害を考えれば当然である。特に「Shai-Hulud」は、npmを標的とした自己複製型の厄介なワームであり、脆弱な開発環境を荒らし回っている。
概して、OWASPのトップ10は安定しており、4年ごとに発表されるリストに合致しています(中間更新はあります)。通常、リストにはいくつかの変化が見られます。例えば、長年上位にいた「インジェクション」は3位から5位に下落し、「不安全な設計」は2つ順位を落として6位となりました。一方、「セキュリティ設定の不備」は5位から2位に上昇しています。 アクセス制御の不備は依然として首位を維持している。2025年版には2つの新規項目が追加された。前述の「ソフトウェア供給チェーンの欠陥」と「例外状態の不適切な処理」が10位で初登場した。次に、新たに追加された供給チェーン脆弱性について詳しく分析する。
脆弱性はほぼあらゆる場所に現れる可能性がある
ソフトウェアのサプライチェーンにおける欠陥は、このリストではやや異例のカテゴリーである。10項目中、OWASP調査データにおける事例数が最も少ない一方で、このカテゴリーに含まれる5つの共通脆弱性分類(CWE)項目がもたらすエクスプロイトと影響の平均スコアが最も高くなっている。 OWASPは、このカテゴリの事例が少ないのは現在のテスト手法の困難さに起因すると推測しており、これは時間の経過とともに改善される可能性があるとしています。いずれにせよ、回答者の圧倒的多数がソフトウェアサプライチェーンの脆弱性を主要な懸念事項の一つとして挙げています。
サプライチェーンの脆弱性の大半は、上流・下流のパートナーや第三者を巻き込む、相互接続されたビジネスの性質に起因します。 各インタラクションにはソフトウェアが関与し、そのコンポーネント(依存関係やライブラリとも呼ばれる)が保護されていない可能性があります。企業は、自社コンポーネント(クライアントサイド、サーバーサイド、ネストされたもの)の全バージョンや、トランジティブ依存関係(他のライブラリからのもの)を追跡せず、それらが脆弱でないか、互換性がないか、古くなっていないかを確認しない場合、脆弱になる可能性があります。 コンポーネントは通常、アプリケーションと同等の権限を持つため、サードパーティやオープンソースリポジトリ由来のものを含む侵害されたコンポーネントは広範な影響を及ぼす可能性があります。パッチや更新をタイムリーに適用することが極めて重要です。月次や四半期ごとの定期的なパッチ適用プログラムでさえ、企業を数日あるいは数ヶ月間、危険に晒す可能性があります。
同様に、サプライチェーンにおける変更管理プロセスが欠如していると、統合開発環境(IDE)やコードリポジトリ、イメージリポジトリ、ライブラリ、その他のサプライチェーン要素の変更を追跡していない場合、脆弱性が生じる可能性があります。 組織は、アクセス制御ポリシーと最小権限の原則を適用することでサプライチェーンを強化する必要があります。これにより、いかなる者も監視なしにコードを作成して本番環境にデプロイできないこと、また信頼できないソースからコンポーネントをダウンロードできないことを保証します。
サプライチェーン攻撃は様々な形態をとりうる。有名なSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアの更新プログラムにマルウェアを注入したことから始まった。約18,000の顧客が影響を受けた。実際に被害を受けた企業数は100社近くに上ったが、そのリストには主要企業や政府機関が含まれていた。 15億ドルの被害をもたらしたBybitハッキング事件(北朝鮮が関与したとされる)では、暗号通貨アプリが侵害された。最近の「Crystal Worm」サプライチェーン攻撃では、Open VSX Marketplaceを感染させた目に見えない自己複製コードが使用された。
サプライチェーンにおける脆弱性の予防
サプライチェーンへの攻撃はシステムの相互依存性を伴うため、その防御には包括的なアプローチが必要です。OWASPは攻撃を防止するための助言を提供しており、これには以下の目的のためのパッチ管理プロセスの実装が含まれます:
- すべてのソフトウェアのソフトウェア部品表(SBOM)を把握し、SBOMを一元管理します。SBOMは後工程ではなくビルド時に生成し、SPDXやCyclonedXなどの標準フォーマットを使用し、バージョンごとに少なくとも1つの機械可読SBOMを公開することが望ましいです。
- すべての依存関係(推移的依存関係を含む)を追跡し、未使用の依存関係や不要な関数、コンポーネント、ファイル、ドキュメントを削除してください。
- クライアント側およびサーバー側のコンポーネントとその依存関係を、OWASP Dependency Scannerやretire.jsなどのツールを用いて継続的に棚卸ししてください。
- 脆弱性に関する最新情報を入手し、共通脆弱性情報(CVE)や国家脆弱性データベース(NVD)などの情報源を継続的に監視してください。また、使用しているコンポーネントに関連するセキュリティ脆弱性に関するメールアラートを購読してください。
- 信頼できるソースからのみ、安全なリンクを通じて取得したコンポーネントを使用してください。例えば、信頼できるベンダーは、研究者がコンポーネントで発見したCVEを公表するために、その研究者と協力する用意があるでしょう。
- 依存関係のバージョンは慎重に選択し、必要な場合にのみ更新してください。サードパーティ製ライブラリは、NVDなどの信頼できる情報源で脆弱性が公開されているものを使用してください。
- 非メンテナンスまたは非互換のライブラリおよびコンポーネントを監視します。パッチの適用が不可能な場合、発見された問題を監視、検出、または防御するための仮想パッチの実装を検討してください。
- 開発者向けツールを定期的に更新します。
- CI/CDパイプラインのコンポーネントをこのプロセスの一部として扱い、変更を記録しながら強化と監視を継続してください。
変更管理または追跡プロセスは、CI/CD構成、コードリポジトリ、テスト環境、統合開発環境(IDE)、SBOMツール、生成されたアーティファクト、レジストリシステムとログ、SaaSなどのサードパーティ統合、アーティファクトリポジトリ、コンテナレジストリにも適用されるべきです。 開発者ワークステーションからCI/CDプロセスに至るシステム全体の強化も必要です。多要素認証を有効化すると同時に、堅牢なIDおよびアクセス管理ポリシーを適用してください。
ソフトウェアサプライチェーンの欠陥に対する防御は、高度に相互接続された現代社会において継続的かつ多面的な取り組みである。組織は、この急速に進化する現代的な脅威に対抗するため、アプリケーションとコンポーネントのライフサイクル全体を通じて強固な防御策を講じる必要がある。
SCW Trust Score™ ユーザーへの注意 :
当社の学習プラットフォームのコンテンツをOWASP Top 10 2025基準に準拠させるため更新する過程で、フルスタック開発者の信頼スコアに若干の変動が生じる可能性があります。ご質問やサポートが必要な場合は、カスタマーサクセス担当者までご連絡ください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
待望の「OWASPトップ10 2025」の発表に伴い、企業は特に警戒すべき新たな脅威をいくつか抱えることになった。その中にはリストのトップに位置する脅威も含まれている。ソフトウェアのサプライチェーン上の欠陥は、新たなカテゴリーとして登場したものの、全く新しいものではない。この脅威は、ウェブアプリケーションのセキュリティにとって最も深刻なリスクをまとめたOpen Web Application Security Project(OWASP)の4年ごとのリストで第3位を占めている。企業がまだ対応していない場合、このリスクを非常に深刻に受け止める必要がある。
ソフトウェアのサプライチェーンにおける欠陥は、2021年以前のリストのカテゴリー「脆弱で古いコンポーネント」から外れ、現在はソフトウェア依存関係エコシステム全体、ビルドシステム、配布インフラストラクチャにおけるより広範な侵害を含むようになりました。 この項目がリストに追加されたことは、特に驚くべきことではない。2019年の「Solarwinds」攻撃、今年初めの「Bybitハッキング」、そして現在進行中の「Shai-Huludキャンペーン」といった著名なサプライチェーン攻撃が引き起こした被害を考えれば当然である。特に「Shai-Hulud」は、npmを標的とした自己複製型の厄介なワームであり、脆弱な開発環境を荒らし回っている。
概して、OWASPのトップ10は安定しており、4年ごとに発表されるリストに合致しています(中間更新はあります)。通常、リストにはいくつかの変化が見られます。例えば、長年上位にいた「インジェクション」は3位から5位に下落し、「不安全な設計」は2つ順位を落として6位となりました。一方、「セキュリティ設定の不備」は5位から2位に上昇しています。 アクセス制御の不備は依然として首位を維持している。2025年版には2つの新規項目が追加された。前述の「ソフトウェア供給チェーンの欠陥」と「例外状態の不適切な処理」が10位で初登場した。次に、新たに追加された供給チェーン脆弱性について詳しく分析する。
脆弱性はほぼあらゆる場所に現れる可能性がある
ソフトウェアのサプライチェーンにおける欠陥は、このリストではやや異例のカテゴリーである。10項目中、OWASP調査データにおける事例数が最も少ない一方で、このカテゴリーに含まれる5つの共通脆弱性分類(CWE)項目がもたらすエクスプロイトと影響の平均スコアが最も高くなっている。 OWASPは、このカテゴリの事例が少ないのは現在のテスト手法の困難さに起因すると推測しており、これは時間の経過とともに改善される可能性があるとしています。いずれにせよ、回答者の圧倒的多数がソフトウェアサプライチェーンの脆弱性を主要な懸念事項の一つとして挙げています。
サプライチェーンの脆弱性の大半は、上流・下流のパートナーや第三者を巻き込む、相互接続されたビジネスの性質に起因します。 各インタラクションにはソフトウェアが関与し、そのコンポーネント(依存関係やライブラリとも呼ばれる)が保護されていない可能性があります。企業は、自社コンポーネント(クライアントサイド、サーバーサイド、ネストされたもの)の全バージョンや、トランジティブ依存関係(他のライブラリからのもの)を追跡せず、それらが脆弱でないか、互換性がないか、古くなっていないかを確認しない場合、脆弱になる可能性があります。 コンポーネントは通常、アプリケーションと同等の権限を持つため、サードパーティやオープンソースリポジトリ由来のものを含む侵害されたコンポーネントは広範な影響を及ぼす可能性があります。パッチや更新をタイムリーに適用することが極めて重要です。月次や四半期ごとの定期的なパッチ適用プログラムでさえ、企業を数日あるいは数ヶ月間、危険に晒す可能性があります。
同様に、サプライチェーンにおける変更管理プロセスが欠如していると、統合開発環境(IDE)やコードリポジトリ、イメージリポジトリ、ライブラリ、その他のサプライチェーン要素の変更を追跡していない場合、脆弱性が生じる可能性があります。 組織は、アクセス制御ポリシーと最小権限の原則を適用することでサプライチェーンを強化する必要があります。これにより、いかなる者も監視なしにコードを作成して本番環境にデプロイできないこと、また信頼できないソースからコンポーネントをダウンロードできないことを保証します。
サプライチェーン攻撃は様々な形態をとりうる。有名なSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアの更新プログラムにマルウェアを注入したことから始まった。約18,000の顧客が影響を受けた。実際に被害を受けた企業数は100社近くに上ったが、そのリストには主要企業や政府機関が含まれていた。 15億ドルの被害をもたらしたBybitハッキング事件(北朝鮮が関与したとされる)では、暗号通貨アプリが侵害された。最近の「Crystal Worm」サプライチェーン攻撃では、Open VSX Marketplaceを感染させた目に見えない自己複製コードが使用された。
サプライチェーンにおける脆弱性の予防
サプライチェーンへの攻撃はシステムの相互依存性を伴うため、その防御には包括的なアプローチが必要です。OWASPは攻撃を防止するための助言を提供しており、これには以下の目的のためのパッチ管理プロセスの実装が含まれます:
- すべてのソフトウェアのソフトウェア部品表(SBOM)を把握し、SBOMを一元管理します。SBOMは後工程ではなくビルド時に生成し、SPDXやCyclonedXなどの標準フォーマットを使用し、バージョンごとに少なくとも1つの機械可読SBOMを公開することが望ましいです。
- すべての依存関係(推移的依存関係を含む)を追跡し、未使用の依存関係や不要な関数、コンポーネント、ファイル、ドキュメントを削除してください。
- クライアント側およびサーバー側のコンポーネントとその依存関係を、OWASP Dependency Scannerやretire.jsなどのツールを用いて継続的に棚卸ししてください。
- 脆弱性に関する最新情報を入手し、共通脆弱性情報(CVE)や国家脆弱性データベース(NVD)などの情報源を継続的に監視してください。また、使用しているコンポーネントに関連するセキュリティ脆弱性に関するメールアラートを購読してください。
- 信頼できるソースからのみ、安全なリンクを通じて取得したコンポーネントを使用してください。例えば、信頼できるベンダーは、研究者がコンポーネントで発見したCVEを公表するために、その研究者と協力する用意があるでしょう。
- 依存関係のバージョンは慎重に選択し、必要な場合にのみ更新してください。サードパーティ製ライブラリは、NVDなどの信頼できる情報源で脆弱性が公開されているものを使用してください。
- 非メンテナンスまたは非互換のライブラリおよびコンポーネントを監視します。パッチの適用が不可能な場合、発見された問題を監視、検出、または防御するための仮想パッチの実装を検討してください。
- 開発者向けツールを定期的に更新します。
- CI/CDパイプラインのコンポーネントをこのプロセスの一部として扱い、変更を記録しながら強化と監視を継続してください。
変更管理または追跡プロセスは、CI/CD構成、コードリポジトリ、テスト環境、統合開発環境(IDE)、SBOMツール、生成されたアーティファクト、レジストリシステムとログ、SaaSなどのサードパーティ統合、アーティファクトリポジトリ、コンテナレジストリにも適用されるべきです。 開発者ワークステーションからCI/CDプロセスに至るシステム全体の強化も必要です。多要素認証を有効化すると同時に、堅牢なIDおよびアクセス管理ポリシーを適用してください。
ソフトウェアサプライチェーンの欠陥に対する防御は、高度に相互接続された現代社会において継続的かつ多面的な取り組みである。組織は、この急速に進化する現代的な脅威に対抗するため、アプリケーションとコンポーネントのライフサイクル全体を通じて強固な防御策を講じる必要がある。
SCW Trust Score™ ユーザーへの注意 :
当社の学習プラットフォームのコンテンツをOWASP Top 10 2025基準に準拠させるため更新する過程で、フルスタック開発者の信頼スコアに若干の変動が生じる可能性があります。ご質問やサポートが必要な場合は、カスタマーサクセス担当者までご連絡ください。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
