OWASP トップ10 2025: ソフトウェアサプライチェーンの失敗
待望の到着とともに、2025年のトップ10には、リストの上位近くに潜む脅威を含め、企業が特に注意すべき新たな脅威がいくつか存在します。ソフトウェアサプライチェーンの障害は、オープンウェブアプリケーションセキュリティプロジェクトが4年ごとに実施する、ウェブアプリケーションセキュリティに関する最も深刻なリスクのリストに新たなカテゴリーとして登場しましたが、まったく新しいカテゴリーではありません。このリスクは、企業がまだ深刻に受け止めていないとしても、非常に深刻に受け止める必要があります。
ソフトウェアサプライチェーンの障害は、2021年に以前のリストのカテゴリーから外れました。脆弱で時代遅れのコンポーネントだけでなく、依存関係、ビルドシステム、配布インフラストラクチャなど、ソフトウェアエコシステム全体にわたる幅広い侵害が含まれています。そして、次のような注目度の高いサプライチェーン攻撃による被害を考えると、リストに載っていることは特に驚くべきことではありません。SolarWinds攻撃(2019年)、バイビットハッキング(今年初め)、そして現在進行中のShai-Flood作戦(特に厄介な自己複製型npmワームで、公開開発環境に大混乱をもたらす)などが挙げられます。
OWASPトップ10は概ね一貫しており、その間に更新はあるものの、4年ごとにリストが表示されるのにふさわしいものです。通常、リストには多少の入れ替えがあります。例えば、長年の常駐者であるインジェクションは3位から5位に下がり、インセキュア・デザインは2位下がって6位になり、セキュリティ・ミスコンフィグレーションは5位から2位に跳ね上がります。アクセス制御の不備は引き続きトップの座を維持しています。2025年版には、前述の「ソフトウェア・サプライ・チェーンの失敗」と「例外状態の不適切な処理」という2つの新項目が加わり、10位にランクインしました。ここでは、サプライチェーンの脆弱性に関する新しいエントリを詳しく見ていきます。
脆弱性はほぼどこでも発生する可能性がある
ソフトウェアサプライチェーンの障害は、10件のエントリの中でOWASPの調査データにおける発生件数が最も少ないという点で、リストではやや珍しいカテゴリーです。ただし、このカテゴリー内の5つの共通弱点列挙(CWE)の結果として、エクスプロイトとインパクトの平均スコアも最も高かった。OWASPは、このカテゴリの存在感が限られているのは、テストにおける現在の課題によるものであり、最終的には改善する可能性があると疑っているという。いずれにせよ、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を最大の懸念事項として挙げています。
サプライチェーンの脆弱性から脱却し、成長していく。すべてのインタラクションには、コンポーネント(依存関係やライブラリとも呼ばれる)が保護されていないソフトウェアが関わっています。自社のコンポーネント(クライアントサイド、サーバーサイド、またはネストされたもの)のすべてのバージョンと(他のライブラリからの)推移的な依存関係を追跡しないことで、企業が脆弱になったり、サポートされていなかったり、古くなったりしていないことを確認できなければ、企業は脆弱になりかねません。通常、コンポーネントはアプリケーションと同じ権限を持っているため、サードパーティやオープンソースのリポジトリから提供されたコンポーネントを含め、侵害されたコンポーネントは広範囲に及ぶ可能性があります。タイムリーなパッチ適用と更新が不可欠です。月ごとまたは四半期ごとの定期的なパッチスケジュールでも、企業は数日または数か月間危険に晒されることがあります。
同様に、統合開発環境 (IDE) や、コードリポジトリ、イメージおよびライブラリリポジトリ、またはサプライチェーンの他の部分への変更を追跡していない場合、サプライチェーンに変更管理プロセスがないと、脆弱性が生じる可能性があります。組織は、アクセス制御と最小権限ポリシーを適用してサプライチェーンを強化する必要があります。これにより、個人が監督なしにコードを作成して本番環境にデプロイしたり、信頼できないソースからコンポーネントをダウンロードしたりできないようにする必要があります。
サプライチェーン攻撃には様々な形態があります。この悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まりました。約18,000人の顧客が影響を受けました。実際に影響を受けた企業の数は100社近くでしたが、その中には大手企業や政府機関も含まれていました。北朝鮮にまでさかのぼる15億ドルのBybitハッキング事件には、侵害された暗号通貨アプリが含まれていました。最近のグラスワームサプライチェーン攻撃には、Open VSX Marketplaceに感染した目に見えない自己複製コードが含まれていました。
サプライチェーン・エクスプロイトの防止
サプライチェーン攻撃にはシステムの相互依存関係が伴うため、それらに対する防御には包括的なアプローチが必要です。OWASPは、次のようなパッチ管理プロセスを導入するなど、攻撃を防ぐためのヒントを提供しています。
- すべてのソフトウェアのソフトウェア部品表 (SBOM) を把握し、SBOM を一元管理します。SPDX や CycloneDX などの標準形式を使用して SBOM を後で生成するよりも、ビルド中に SBOM を生成し、リリースごとに少なくとも 1 つの機械可読な SBOM を公開するのが最善です。
- 推移的な依存関係を含むすべての依存関係を追跡し、未使用の依存関係を削除し、不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- 次のようなツールを使用して、クライアント側とサーバー側の両方のコンポーネントとその依存関係を継続的にインベントリします。OWASP 依存関係チェックまたはretire.js。
- 以下の原因を継続的に監視し、脆弱性に関する最新情報を入手してください。一般的な脆弱性と危険性(CVE)ウェブサイトと全国脆弱性データベース(NVD) を使用して、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読してください。
- 安全なリンクを介して信頼できるソースからのみ入手したコンポーネントを使用してください。例えば、信頼できるプロバイダーであれば、研究者と協力し、研究者がコンポーネントから発見したCVEを開示したいと思うでしょう。
- 依存関係のバージョンは意図的に選択し、必要な場合にのみアップグレードしてください。脆弱性がNVDなどの信頼できる情報源で公開されているサードパーティ製ライブラリを使用してください。
- 保守されていない、またはサポートされていないライブラリやコンポーネントを監視します。パッチを適用できない場合は、発見された問題を監視、検出、または保護するための仮想パッチの導入を検討してください。
- 開発者ツールを定期的に更新します。
- CI/CD パイプライン内のコンポーネントをこのプロセスの一部として扱い、変更を文書化しながら強化および監視します。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、作成されたアーティファクト、ロギングシステムとログ、SaaS、アーティファクトリポジトリ、コンテナレジストリなどのサードパーティ統合にも適用する必要があります。また、開発者ワークステーションから CI/CD パイプラインまで、システムを強化する必要があります。さらに、強固な ID 管理ポリシーとアクセス管理ポリシーを適用しながら、多要素認証も有効にしてください。
ソフトウェアサプライチェーンの障害からの保護は、高度に相互接続された世界において、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威から身を守るために、アプリケーションとコンポーネントのライフサイクル全体にわたって強力な防御策を講じる必要があります。
SCWトラストスコアに関する注記™ ユーザー:
OWASP Top 10 2025基準に合わせてラーニングプラットフォームのコンテンツを更新するにあたり、フルスタック開発者のトラストスコアに若干の調整が見られる場合があります。ご質問がある場合やサポートが必要な場合は、カスタマーサクセス担当者にお問い合わせください。
OWASP Top 10 2025 では、ソフトウェアサプライチェーンの障害が #3 に掲載されています。厳密なSBOM、依存関係の追跡、CI/CD パイプラインの強化により、この影響の大きいリスクを軽減してください。
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
待望の到着とともに、2025年のトップ10には、リストの上位近くに潜む脅威を含め、企業が特に注意すべき新たな脅威がいくつか存在します。ソフトウェアサプライチェーンの障害は、オープンウェブアプリケーションセキュリティプロジェクトが4年ごとに実施する、ウェブアプリケーションセキュリティに関する最も深刻なリスクのリストに新たなカテゴリーとして登場しましたが、まったく新しいカテゴリーではありません。このリスクは、企業がまだ深刻に受け止めていないとしても、非常に深刻に受け止める必要があります。
ソフトウェアサプライチェーンの障害は、2021年に以前のリストのカテゴリーから外れました。脆弱で時代遅れのコンポーネントだけでなく、依存関係、ビルドシステム、配布インフラストラクチャなど、ソフトウェアエコシステム全体にわたる幅広い侵害が含まれています。そして、次のような注目度の高いサプライチェーン攻撃による被害を考えると、リストに載っていることは特に驚くべきことではありません。SolarWinds攻撃(2019年)、バイビットハッキング(今年初め)、そして現在進行中のShai-Flood作戦(特に厄介な自己複製型npmワームで、公開開発環境に大混乱をもたらす)などが挙げられます。
OWASPトップ10は概ね一貫しており、その間に更新はあるものの、4年ごとにリストが表示されるのにふさわしいものです。通常、リストには多少の入れ替えがあります。例えば、長年の常駐者であるインジェクションは3位から5位に下がり、インセキュア・デザインは2位下がって6位になり、セキュリティ・ミスコンフィグレーションは5位から2位に跳ね上がります。アクセス制御の不備は引き続きトップの座を維持しています。2025年版には、前述の「ソフトウェア・サプライ・チェーンの失敗」と「例外状態の不適切な処理」という2つの新項目が加わり、10位にランクインしました。ここでは、サプライチェーンの脆弱性に関する新しいエントリを詳しく見ていきます。
脆弱性はほぼどこでも発生する可能性がある
ソフトウェアサプライチェーンの障害は、10件のエントリの中でOWASPの調査データにおける発生件数が最も少ないという点で、リストではやや珍しいカテゴリーです。ただし、このカテゴリー内の5つの共通弱点列挙(CWE)の結果として、エクスプロイトとインパクトの平均スコアも最も高かった。OWASPは、このカテゴリの存在感が限られているのは、テストにおける現在の課題によるものであり、最終的には改善する可能性があると疑っているという。いずれにせよ、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を最大の懸念事項として挙げています。
サプライチェーンの脆弱性から脱却し、成長していく。すべてのインタラクションには、コンポーネント(依存関係やライブラリとも呼ばれる)が保護されていないソフトウェアが関わっています。自社のコンポーネント(クライアントサイド、サーバーサイド、またはネストされたもの)のすべてのバージョンと(他のライブラリからの)推移的な依存関係を追跡しないことで、企業が脆弱になったり、サポートされていなかったり、古くなったりしていないことを確認できなければ、企業は脆弱になりかねません。通常、コンポーネントはアプリケーションと同じ権限を持っているため、サードパーティやオープンソースのリポジトリから提供されたコンポーネントを含め、侵害されたコンポーネントは広範囲に及ぶ可能性があります。タイムリーなパッチ適用と更新が不可欠です。月ごとまたは四半期ごとの定期的なパッチスケジュールでも、企業は数日または数か月間危険に晒されることがあります。
同様に、統合開発環境 (IDE) や、コードリポジトリ、イメージおよびライブラリリポジトリ、またはサプライチェーンの他の部分への変更を追跡していない場合、サプライチェーンに変更管理プロセスがないと、脆弱性が生じる可能性があります。組織は、アクセス制御と最小権限ポリシーを適用してサプライチェーンを強化する必要があります。これにより、個人が監督なしにコードを作成して本番環境にデプロイしたり、信頼できないソースからコンポーネントをダウンロードしたりできないようにする必要があります。
サプライチェーン攻撃には様々な形態があります。この悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まりました。約18,000人の顧客が影響を受けました。実際に影響を受けた企業の数は100社近くでしたが、その中には大手企業や政府機関も含まれていました。北朝鮮にまでさかのぼる15億ドルのBybitハッキング事件には、侵害された暗号通貨アプリが含まれていました。最近のグラスワームサプライチェーン攻撃には、Open VSX Marketplaceに感染した目に見えない自己複製コードが含まれていました。
サプライチェーン・エクスプロイトの防止
サプライチェーン攻撃にはシステムの相互依存関係が伴うため、それらに対する防御には包括的なアプローチが必要です。OWASPは、次のようなパッチ管理プロセスを導入するなど、攻撃を防ぐためのヒントを提供しています。
- すべてのソフトウェアのソフトウェア部品表 (SBOM) を把握し、SBOM を一元管理します。SPDX や CycloneDX などの標準形式を使用して SBOM を後で生成するよりも、ビルド中に SBOM を生成し、リリースごとに少なくとも 1 つの機械可読な SBOM を公開するのが最善です。
- 推移的な依存関係を含むすべての依存関係を追跡し、未使用の依存関係を削除し、不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- 次のようなツールを使用して、クライアント側とサーバー側の両方のコンポーネントとその依存関係を継続的にインベントリします。OWASP 依存関係チェックまたはretire.js。
- 以下の原因を継続的に監視し、脆弱性に関する最新情報を入手してください。一般的な脆弱性と危険性(CVE)ウェブサイトと全国脆弱性データベース(NVD) を使用して、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読してください。
- 安全なリンクを介して信頼できるソースからのみ入手したコンポーネントを使用してください。例えば、信頼できるプロバイダーであれば、研究者と協力し、研究者がコンポーネントから発見したCVEを開示したいと思うでしょう。
- 依存関係のバージョンは意図的に選択し、必要な場合にのみアップグレードしてください。脆弱性がNVDなどの信頼できる情報源で公開されているサードパーティ製ライブラリを使用してください。
- 保守されていない、またはサポートされていないライブラリやコンポーネントを監視します。パッチを適用できない場合は、発見された問題を監視、検出、または保護するための仮想パッチの導入を検討してください。
- 開発者ツールを定期的に更新します。
- CI/CD パイプライン内のコンポーネントをこのプロセスの一部として扱い、変更を文書化しながら強化および監視します。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、作成されたアーティファクト、ロギングシステムとログ、SaaS、アーティファクトリポジトリ、コンテナレジストリなどのサードパーティ統合にも適用する必要があります。また、開発者ワークステーションから CI/CD パイプラインまで、システムを強化する必要があります。さらに、強固な ID 管理ポリシーとアクセス管理ポリシーを適用しながら、多要素認証も有効にしてください。
ソフトウェアサプライチェーンの障害からの保護は、高度に相互接続された世界において、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威から身を守るために、アプリケーションとコンポーネントのライフサイクル全体にわたって強力な防御策を講じる必要があります。
SCWトラストスコアに関する注記™ ユーザー:
OWASP Top 10 2025基準に合わせてラーニングプラットフォームのコンテンツを更新するにあたり、フルスタック開発者のトラストスコアに若干の調整が見られる場合があります。ご質問がある場合やサポートが必要な場合は、カスタマーサクセス担当者にお問い合わせください。
待望の到着とともに、2025年のトップ10には、リストの上位近くに潜む脅威を含め、企業が特に注意すべき新たな脅威がいくつか存在します。ソフトウェアサプライチェーンの障害は、オープンウェブアプリケーションセキュリティプロジェクトが4年ごとに実施する、ウェブアプリケーションセキュリティに関する最も深刻なリスクのリストに新たなカテゴリーとして登場しましたが、まったく新しいカテゴリーではありません。このリスクは、企業がまだ深刻に受け止めていないとしても、非常に深刻に受け止める必要があります。
ソフトウェアサプライチェーンの障害は、2021年に以前のリストのカテゴリーから外れました。脆弱で時代遅れのコンポーネントだけでなく、依存関係、ビルドシステム、配布インフラストラクチャなど、ソフトウェアエコシステム全体にわたる幅広い侵害が含まれています。そして、次のような注目度の高いサプライチェーン攻撃による被害を考えると、リストに載っていることは特に驚くべきことではありません。SolarWinds攻撃(2019年)、バイビットハッキング(今年初め)、そして現在進行中のShai-Flood作戦(特に厄介な自己複製型npmワームで、公開開発環境に大混乱をもたらす)などが挙げられます。
OWASPトップ10は概ね一貫しており、その間に更新はあるものの、4年ごとにリストが表示されるのにふさわしいものです。通常、リストには多少の入れ替えがあります。例えば、長年の常駐者であるインジェクションは3位から5位に下がり、インセキュア・デザインは2位下がって6位になり、セキュリティ・ミスコンフィグレーションは5位から2位に跳ね上がります。アクセス制御の不備は引き続きトップの座を維持しています。2025年版には、前述の「ソフトウェア・サプライ・チェーンの失敗」と「例外状態の不適切な処理」という2つの新項目が加わり、10位にランクインしました。ここでは、サプライチェーンの脆弱性に関する新しいエントリを詳しく見ていきます。
脆弱性はほぼどこでも発生する可能性がある
ソフトウェアサプライチェーンの障害は、10件のエントリの中でOWASPの調査データにおける発生件数が最も少ないという点で、リストではやや珍しいカテゴリーです。ただし、このカテゴリー内の5つの共通弱点列挙(CWE)の結果として、エクスプロイトとインパクトの平均スコアも最も高かった。OWASPは、このカテゴリの存在感が限られているのは、テストにおける現在の課題によるものであり、最終的には改善する可能性があると疑っているという。いずれにせよ、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を最大の懸念事項として挙げています。
サプライチェーンの脆弱性から脱却し、成長していく。すべてのインタラクションには、コンポーネント(依存関係やライブラリとも呼ばれる)が保護されていないソフトウェアが関わっています。自社のコンポーネント(クライアントサイド、サーバーサイド、またはネストされたもの)のすべてのバージョンと(他のライブラリからの)推移的な依存関係を追跡しないことで、企業が脆弱になったり、サポートされていなかったり、古くなったりしていないことを確認できなければ、企業は脆弱になりかねません。通常、コンポーネントはアプリケーションと同じ権限を持っているため、サードパーティやオープンソースのリポジトリから提供されたコンポーネントを含め、侵害されたコンポーネントは広範囲に及ぶ可能性があります。タイムリーなパッチ適用と更新が不可欠です。月ごとまたは四半期ごとの定期的なパッチスケジュールでも、企業は数日または数か月間危険に晒されることがあります。
同様に、統合開発環境 (IDE) や、コードリポジトリ、イメージおよびライブラリリポジトリ、またはサプライチェーンの他の部分への変更を追跡していない場合、サプライチェーンに変更管理プロセスがないと、脆弱性が生じる可能性があります。組織は、アクセス制御と最小権限ポリシーを適用してサプライチェーンを強化する必要があります。これにより、個人が監督なしにコードを作成して本番環境にデプロイしたり、信頼できないソースからコンポーネントをダウンロードしたりできないようにする必要があります。
サプライチェーン攻撃には様々な形態があります。この悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まりました。約18,000人の顧客が影響を受けました。実際に影響を受けた企業の数は100社近くでしたが、その中には大手企業や政府機関も含まれていました。北朝鮮にまでさかのぼる15億ドルのBybitハッキング事件には、侵害された暗号通貨アプリが含まれていました。最近のグラスワームサプライチェーン攻撃には、Open VSX Marketplaceに感染した目に見えない自己複製コードが含まれていました。
サプライチェーン・エクスプロイトの防止
サプライチェーン攻撃にはシステムの相互依存関係が伴うため、それらに対する防御には包括的なアプローチが必要です。OWASPは、次のようなパッチ管理プロセスを導入するなど、攻撃を防ぐためのヒントを提供しています。
- すべてのソフトウェアのソフトウェア部品表 (SBOM) を把握し、SBOM を一元管理します。SPDX や CycloneDX などの標準形式を使用して SBOM を後で生成するよりも、ビルド中に SBOM を生成し、リリースごとに少なくとも 1 つの機械可読な SBOM を公開するのが最善です。
- 推移的な依存関係を含むすべての依存関係を追跡し、未使用の依存関係を削除し、不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- 次のようなツールを使用して、クライアント側とサーバー側の両方のコンポーネントとその依存関係を継続的にインベントリします。OWASP 依存関係チェックまたはretire.js。
- 以下の原因を継続的に監視し、脆弱性に関する最新情報を入手してください。一般的な脆弱性と危険性(CVE)ウェブサイトと全国脆弱性データベース(NVD) を使用して、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読してください。
- 安全なリンクを介して信頼できるソースからのみ入手したコンポーネントを使用してください。例えば、信頼できるプロバイダーであれば、研究者と協力し、研究者がコンポーネントから発見したCVEを開示したいと思うでしょう。
- 依存関係のバージョンは意図的に選択し、必要な場合にのみアップグレードしてください。脆弱性がNVDなどの信頼できる情報源で公開されているサードパーティ製ライブラリを使用してください。
- 保守されていない、またはサポートされていないライブラリやコンポーネントを監視します。パッチを適用できない場合は、発見された問題を監視、検出、または保護するための仮想パッチの導入を検討してください。
- 開発者ツールを定期的に更新します。
- CI/CD パイプライン内のコンポーネントをこのプロセスの一部として扱い、変更を文書化しながら強化および監視します。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、作成されたアーティファクト、ロギングシステムとログ、SaaS、アーティファクトリポジトリ、コンテナレジストリなどのサードパーティ統合にも適用する必要があります。また、開発者ワークステーションから CI/CD パイプラインまで、システムを強化する必要があります。さらに、強固な ID 管理ポリシーとアクセス管理ポリシーを適用しながら、多要素認証も有効にしてください。
ソフトウェアサプライチェーンの障害からの保護は、高度に相互接続された世界において、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威から身を守るために、アプリケーションとコンポーネントのライフサイクル全体にわたって強力な防御策を講じる必要があります。
SCWトラストスコアに関する注記™ ユーザー:
OWASP Top 10 2025基準に合わせてラーニングプラットフォームのコンテンツを更新するにあたり、フルスタック開発者のトラストスコアに若干の調整が見られる場合があります。ご質問がある場合やサポートが必要な場合は、カスタマーサクセス担当者にお問い合わせください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
待望の到着とともに、2025年のトップ10には、リストの上位近くに潜む脅威を含め、企業が特に注意すべき新たな脅威がいくつか存在します。ソフトウェアサプライチェーンの障害は、オープンウェブアプリケーションセキュリティプロジェクトが4年ごとに実施する、ウェブアプリケーションセキュリティに関する最も深刻なリスクのリストに新たなカテゴリーとして登場しましたが、まったく新しいカテゴリーではありません。このリスクは、企業がまだ深刻に受け止めていないとしても、非常に深刻に受け止める必要があります。
ソフトウェアサプライチェーンの障害は、2021年に以前のリストのカテゴリーから外れました。脆弱で時代遅れのコンポーネントだけでなく、依存関係、ビルドシステム、配布インフラストラクチャなど、ソフトウェアエコシステム全体にわたる幅広い侵害が含まれています。そして、次のような注目度の高いサプライチェーン攻撃による被害を考えると、リストに載っていることは特に驚くべきことではありません。SolarWinds攻撃(2019年)、バイビットハッキング(今年初め)、そして現在進行中のShai-Flood作戦(特に厄介な自己複製型npmワームで、公開開発環境に大混乱をもたらす)などが挙げられます。
OWASPトップ10は概ね一貫しており、その間に更新はあるものの、4年ごとにリストが表示されるのにふさわしいものです。通常、リストには多少の入れ替えがあります。例えば、長年の常駐者であるインジェクションは3位から5位に下がり、インセキュア・デザインは2位下がって6位になり、セキュリティ・ミスコンフィグレーションは5位から2位に跳ね上がります。アクセス制御の不備は引き続きトップの座を維持しています。2025年版には、前述の「ソフトウェア・サプライ・チェーンの失敗」と「例外状態の不適切な処理」という2つの新項目が加わり、10位にランクインしました。ここでは、サプライチェーンの脆弱性に関する新しいエントリを詳しく見ていきます。
脆弱性はほぼどこでも発生する可能性がある
ソフトウェアサプライチェーンの障害は、10件のエントリの中でOWASPの調査データにおける発生件数が最も少ないという点で、リストではやや珍しいカテゴリーです。ただし、このカテゴリー内の5つの共通弱点列挙(CWE)の結果として、エクスプロイトとインパクトの平均スコアも最も高かった。OWASPは、このカテゴリの存在感が限られているのは、テストにおける現在の課題によるものであり、最終的には改善する可能性があると疑っているという。いずれにせよ、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を最大の懸念事項として挙げています。
サプライチェーンの脆弱性から脱却し、成長していく。すべてのインタラクションには、コンポーネント(依存関係やライブラリとも呼ばれる)が保護されていないソフトウェアが関わっています。自社のコンポーネント(クライアントサイド、サーバーサイド、またはネストされたもの)のすべてのバージョンと(他のライブラリからの)推移的な依存関係を追跡しないことで、企業が脆弱になったり、サポートされていなかったり、古くなったりしていないことを確認できなければ、企業は脆弱になりかねません。通常、コンポーネントはアプリケーションと同じ権限を持っているため、サードパーティやオープンソースのリポジトリから提供されたコンポーネントを含め、侵害されたコンポーネントは広範囲に及ぶ可能性があります。タイムリーなパッチ適用と更新が不可欠です。月ごとまたは四半期ごとの定期的なパッチスケジュールでも、企業は数日または数か月間危険に晒されることがあります。
同様に、統合開発環境 (IDE) や、コードリポジトリ、イメージおよびライブラリリポジトリ、またはサプライチェーンの他の部分への変更を追跡していない場合、サプライチェーンに変更管理プロセスがないと、脆弱性が生じる可能性があります。組織は、アクセス制御と最小権限ポリシーを適用してサプライチェーンを強化する必要があります。これにより、個人が監督なしにコードを作成して本番環境にデプロイしたり、信頼できないソースからコンポーネントをダウンロードしたりできないようにする必要があります。
サプライチェーン攻撃には様々な形態があります。この悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まりました。約18,000人の顧客が影響を受けました。実際に影響を受けた企業の数は100社近くでしたが、その中には大手企業や政府機関も含まれていました。北朝鮮にまでさかのぼる15億ドルのBybitハッキング事件には、侵害された暗号通貨アプリが含まれていました。最近のグラスワームサプライチェーン攻撃には、Open VSX Marketplaceに感染した目に見えない自己複製コードが含まれていました。
サプライチェーン・エクスプロイトの防止
サプライチェーン攻撃にはシステムの相互依存関係が伴うため、それらに対する防御には包括的なアプローチが必要です。OWASPは、次のようなパッチ管理プロセスを導入するなど、攻撃を防ぐためのヒントを提供しています。
- すべてのソフトウェアのソフトウェア部品表 (SBOM) を把握し、SBOM を一元管理します。SPDX や CycloneDX などの標準形式を使用して SBOM を後で生成するよりも、ビルド中に SBOM を生成し、リリースごとに少なくとも 1 つの機械可読な SBOM を公開するのが最善です。
- 推移的な依存関係を含むすべての依存関係を追跡し、未使用の依存関係を削除し、不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- 次のようなツールを使用して、クライアント側とサーバー側の両方のコンポーネントとその依存関係を継続的にインベントリします。OWASP 依存関係チェックまたはretire.js。
- 以下の原因を継続的に監視し、脆弱性に関する最新情報を入手してください。一般的な脆弱性と危険性(CVE)ウェブサイトと全国脆弱性データベース(NVD) を使用して、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読してください。
- 安全なリンクを介して信頼できるソースからのみ入手したコンポーネントを使用してください。例えば、信頼できるプロバイダーであれば、研究者と協力し、研究者がコンポーネントから発見したCVEを開示したいと思うでしょう。
- 依存関係のバージョンは意図的に選択し、必要な場合にのみアップグレードしてください。脆弱性がNVDなどの信頼できる情報源で公開されているサードパーティ製ライブラリを使用してください。
- 保守されていない、またはサポートされていないライブラリやコンポーネントを監視します。パッチを適用できない場合は、発見された問題を監視、検出、または保護するための仮想パッチの導入を検討してください。
- 開発者ツールを定期的に更新します。
- CI/CD パイプライン内のコンポーネントをこのプロセスの一部として扱い、変更を文書化しながら強化および監視します。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、作成されたアーティファクト、ロギングシステムとログ、SaaS、アーティファクトリポジトリ、コンテナレジストリなどのサードパーティ統合にも適用する必要があります。また、開発者ワークステーションから CI/CD パイプラインまで、システムを強化する必要があります。さらに、強固な ID 管理ポリシーとアクセス管理ポリシーを適用しながら、多要素認証も有効にしてください。
ソフトウェアサプライチェーンの障害からの保護は、高度に相互接続された世界において、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威から身を守るために、アプリケーションとコンポーネントのライフサイクル全体にわたって強力な防御策を講じる必要があります。
SCWトラストスコアに関する注記™ ユーザー:
OWASP Top 10 2025基準に合わせてラーニングプラットフォームのコンテンツを更新するにあたり、フルスタック開発者のトラストスコアに若干の調整が見られる場合があります。ご質問がある場合やサポートが必要な場合は、カスタマーサクセス担当者にお問い合わせください。
目次
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
