OWASP トップ 10 2025: ソフトウェアサプライチェーンの失敗
待望の到着とともに 2025 オワストップテン、企業には、リストの上位近くに潜んでいる脅威を含め、特に注意すべき新しい脅威がいくつかあります。 ソフトウェアサプライチェーンの障害オープンウェブ・アプリケーション・セキュリティ・プロジェクトが4年に一度実施する、ウェブ・アプリケーション・セキュリティに関する最も深刻なリスクのリストでは、新しいカテゴリーとして登場しましたが、まったく新しいカテゴリーではありません。このリスクは、企業がまだ深刻に受け止めていないとしても、非常に深刻に受け止める必要があります。
ソフトウェアサプライチェーンの障害は、2021年に前のリストのカテゴリーから外れました。 脆弱で時代遅れのコンポーネントそして今では、依存関係、ビルドシステム、配布インフラストラクチャなど、ソフトウェアエコシステム全体にわたる幅広い侵害が含まれています。そして、次のような注目度の高いサプライチェーン攻撃による被害を考えると、リストに載っていることは特に驚くべきことではありません。 ソーラーウィンズ 2019年には、 バイビットハック 今年初め、そして現在進行中の シャイ・フルード作戦、特に厄介な、自己複製型のnpmワームで、公開された開発者環境に大混乱をもたらします。
OWASPトップ10は概ね一貫しており、その間に更新はあるものの、4年ごとにリストが表示されるのにふさわしいものです。通常、リストには多少の入れ替えがあります。たとえば、長年の常駐者であるインジェクションは3位から5位に下がり、インセキュア・デザインは2位下がって6位になり、セキュリティ・ミスコンフィグレーションは5位から2位に跳ね上がります。ブロークン・アクセス・コントロールは引き続きトップの座を維持しています。2025年版には、前述の「ソフトウェア・サプライ・チェーンの失敗」と「例外的条件の不適切な取り扱い」という2つの新項目が加わり、10位にランクインしました。ここでは、サプライチェーンの脆弱性に関する新しいエントリを詳しく見ていきます。
脆弱性はほぼどこでも発生する可能性がある
ソフトウェアサプライチェーンの障害は、10件のエントリの中でOWASPの調査データでの発生件数が最も少ないという点で、リストではやや珍しいカテゴリです。ただし、このカテゴリ内の5つの共通弱点列挙(CWE)の結果として、エクスプロイトとインパクトの平均スコアも最も高かった。OWASPは、このカテゴリの存在感が限られているのは、テストにおける現在の課題によるものであり、最終的には改善する可能性があると疑っているという。いずれにしても、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を最大の懸念事項として挙げています。
最も サプライチェーンの脆弱性 上流と下流のパートナーや第三者が関わる、相互に関連し合うビジネスから脱却して成長していく。すべてのインタラクションには、コンポーネント (依存関係やライブラリともいう) が保護されていないソフトウェアが関わっています。自社のコンポーネント (クライアントサイド、サーバーサイド、またはネストされた) のすべてのバージョンと (他のライブラリからの) 推移的な依存関係を追跡しないことで、企業が脆弱になったり、サポートされていなかったり、古くなったりしていないことを確認できなければ、企業は脆弱になりかねません。通常、コンポーネントはアプリケーションと同じ権限を持っているため、サードパーティやオープンソースのリポジトリから提供されたコンポーネントを含め、侵害されたコンポーネントは広範囲に及ぶ可能性があります。タイムリーなパッチ適用と更新が不可欠です。月ごとまたは四半期ごとの定期的なパッチスケジュールでも、企業は数日または数か月間危険にさらされることがあります。
同様に、統合開発環境 (IDE) や、コードリポジトリ、イメージおよびライブラリリポジトリ、またはサプライチェーンの他の部分への変更を追跡していない場合、サプライチェーンに変更管理プロセスがないと、脆弱性が生じる可能性があります。組織は、アクセス制御と最小権限ポリシーを適用してサプライチェーンを強化する必要があります。これにより、個人が監督なしにコードを作成して本番環境にデプロイしたり、信頼できないソースからコンポーネントをダウンロードしたりできないようにする必要があります。
サプライチェーン攻撃にはさまざまな形態があります。この悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まりました。約18,000人の顧客が影響を受けました。実際に影響を受けた企業の数は100社近くでしたが、その中には大手企業や政府機関も含まれていました。北朝鮮にまでさかのぼる15億ドルのBybitハッキング事件には、侵害された暗号通貨アプリが含まれていました。最近の グラスワーム サプライチェーン攻撃には、Open VSX Marketplaceに感染した目に見えない自己複製コードが含まれていました。
サプライ・チェーン・エクスプロイトの防止
サプライチェーン攻撃にはシステムの相互依存関係が伴うため、それらに対する防御には包括的なアプローチが必要です。OWASPは、次のようなパッチ管理プロセスを導入するなど、攻撃を防ぐためのヒントを提供しています。
- すべてのソフトウェアのソフトウェア部品表 (SBOM) を把握し、SBOM を一元管理します。SPDX や CycloneDX などの標準形式を使用して SBOM を後で生成するよりも、ビルド中に SBOM を生成し、リリースごとに少なくとも 1 つの機械可読な SBOM を公開するのが最善です。
- 推移的な依存関係を含むすべての依存関係を追跡し、未使用の依存関係を削除し、不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- 次のようなツールを使用して、クライアント側とサーバー側の両方のコンポーネントとその依存関係を継続的にインベントリします。 OWASP 依存関係チェック または retire.js。
- 次のような原因を継続的に監視して、脆弱性に関する最新情報を入手してください。 一般的な脆弱性と危険性 (CVE) ウェブサイトと 全国脆弱性データベース (NVD) を使用して、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読してください。
- 安全なリンクを介して信頼できるソースからのみ入手したコンポーネントを使用してください。たとえば、信頼できるプロバイダーであれば、研究者と協力して、研究者がコンポーネントから発見したCVEを開示したいと思うでしょう。
- 使用する依存関係のバージョンを意図的に選択し、必要な場合にのみアップグレードしてください。NVD などのよく知られたソースで脆弱性が公開されているサードパーティーのライブラリを使って作業してください。
- 保守されていない、またはサポートされていないライブラリやコンポーネントを監視します。パッチを適用できない場合は、発見された問題を監視、検出、または保護するための仮想パッチの導入を検討してください。
- 開発者ツールを定期的に更新します。
- CI/CD パイプライン内のコンポーネントをこのプロセスの一部として扱い、変更を文書化しながら強化および監視します。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、作成されたアーティファクト、ロギングシステムとログ、SaaS、アーティファクトリポジトリ、コンテナレジストリなどのサードパーティ統合にも適用する必要があります。また、開発者ワークステーションから CI/CD パイプラインまで、システムを強化する必要もあります。また、強固な ID 管理ポリシーとアクセス管理ポリシーを適用しながら、多要素認証も有効にしてください。
ソフトウェアサプライチェーンの障害からの保護は、高度に相互接続された世界において、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威から身を守るために、アプリケーションとコンポーネントのライフサイクル全体にわたって強力な防御策を講じる必要があります。
SCW トラストスコアに関する注記™ ユーザ:
OWASP Top 10 2025基準に合わせてラーニングプラットフォームのコンテンツを更新するにあたり、フルスタック開発者のトラストスコアに若干の調整が見られる場合があります。質問がある場合やサポートが必要な場合は、カスタマーサクセス担当者にお問い合わせください。
OWASP Top 10 2025 では、ソフトウェアサプライチェーンの障害が #3 に掲載されています。厳密なSBOM、依存関係の追跡、CI/CD パイプラインの強化により、この影響の大きいリスクを軽減してください。
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身に付けることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
待望の到着とともに 2025 オワストップテン、企業には、リストの上位近くに潜んでいる脅威を含め、特に注意すべき新しい脅威がいくつかあります。 ソフトウェアサプライチェーンの障害オープンウェブ・アプリケーション・セキュリティ・プロジェクトが4年に一度実施する、ウェブ・アプリケーション・セキュリティに関する最も深刻なリスクのリストでは、新しいカテゴリーとして登場しましたが、まったく新しいカテゴリーではありません。このリスクは、企業がまだ深刻に受け止めていないとしても、非常に深刻に受け止める必要があります。
ソフトウェアサプライチェーンの障害は、2021年に前のリストのカテゴリーから外れました。 脆弱で時代遅れのコンポーネントそして今では、依存関係、ビルドシステム、配布インフラストラクチャなど、ソフトウェアエコシステム全体にわたる幅広い侵害が含まれています。そして、次のような注目度の高いサプライチェーン攻撃による被害を考えると、リストに載っていることは特に驚くべきことではありません。 ソーラーウィンズ 2019年には、 バイビットハック 今年初め、そして現在進行中の シャイ・フルード作戦、特に厄介な、自己複製型のnpmワームで、公開された開発者環境に大混乱をもたらします。
OWASPトップ10は概ね一貫しており、その間に更新はあるものの、4年ごとにリストが表示されるのにふさわしいものです。通常、リストには多少の入れ替えがあります。たとえば、長年の常駐者であるインジェクションは3位から5位に下がり、インセキュア・デザインは2位下がって6位になり、セキュリティ・ミスコンフィグレーションは5位から2位に跳ね上がります。ブロークン・アクセス・コントロールは引き続きトップの座を維持しています。2025年版には、前述の「ソフトウェア・サプライ・チェーンの失敗」と「例外的条件の不適切な取り扱い」という2つの新項目が加わり、10位にランクインしました。ここでは、サプライチェーンの脆弱性に関する新しいエントリを詳しく見ていきます。
脆弱性はほぼどこでも発生する可能性がある
ソフトウェアサプライチェーンの障害は、10件のエントリの中でOWASPの調査データでの発生件数が最も少ないという点で、リストではやや珍しいカテゴリです。ただし、このカテゴリ内の5つの共通弱点列挙(CWE)の結果として、エクスプロイトとインパクトの平均スコアも最も高かった。OWASPは、このカテゴリの存在感が限られているのは、テストにおける現在の課題によるものであり、最終的には改善する可能性があると疑っているという。いずれにしても、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を最大の懸念事項として挙げています。
最も サプライチェーンの脆弱性 上流と下流のパートナーや第三者が関わる、相互に関連し合うビジネスから脱却して成長していく。すべてのインタラクションには、コンポーネント (依存関係やライブラリともいう) が保護されていないソフトウェアが関わっています。自社のコンポーネント (クライアントサイド、サーバーサイド、またはネストされた) のすべてのバージョンと (他のライブラリからの) 推移的な依存関係を追跡しないことで、企業が脆弱になったり、サポートされていなかったり、古くなったりしていないことを確認できなければ、企業は脆弱になりかねません。通常、コンポーネントはアプリケーションと同じ権限を持っているため、サードパーティやオープンソースのリポジトリから提供されたコンポーネントを含め、侵害されたコンポーネントは広範囲に及ぶ可能性があります。タイムリーなパッチ適用と更新が不可欠です。月ごとまたは四半期ごとの定期的なパッチスケジュールでも、企業は数日または数か月間危険にさらされることがあります。
同様に、統合開発環境 (IDE) や、コードリポジトリ、イメージおよびライブラリリポジトリ、またはサプライチェーンの他の部分への変更を追跡していない場合、サプライチェーンに変更管理プロセスがないと、脆弱性が生じる可能性があります。組織は、アクセス制御と最小権限ポリシーを適用してサプライチェーンを強化する必要があります。これにより、個人が監督なしにコードを作成して本番環境にデプロイしたり、信頼できないソースからコンポーネントをダウンロードしたりできないようにする必要があります。
サプライチェーン攻撃にはさまざまな形態があります。この悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まりました。約18,000人の顧客が影響を受けました。実際に影響を受けた企業の数は100社近くでしたが、その中には大手企業や政府機関も含まれていました。北朝鮮にまでさかのぼる15億ドルのBybitハッキング事件には、侵害された暗号通貨アプリが含まれていました。最近の グラスワーム サプライチェーン攻撃には、Open VSX Marketplaceに感染した目に見えない自己複製コードが含まれていました。
サプライ・チェーン・エクスプロイトの防止
サプライチェーン攻撃にはシステムの相互依存関係が伴うため、それらに対する防御には包括的なアプローチが必要です。OWASPは、次のようなパッチ管理プロセスを導入するなど、攻撃を防ぐためのヒントを提供しています。
- すべてのソフトウェアのソフトウェア部品表 (SBOM) を把握し、SBOM を一元管理します。SPDX や CycloneDX などの標準形式を使用して SBOM を後で生成するよりも、ビルド中に SBOM を生成し、リリースごとに少なくとも 1 つの機械可読な SBOM を公開するのが最善です。
- 推移的な依存関係を含むすべての依存関係を追跡し、未使用の依存関係を削除し、不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- 次のようなツールを使用して、クライアント側とサーバー側の両方のコンポーネントとその依存関係を継続的にインベントリします。 OWASP 依存関係チェック または retire.js。
- 次のような原因を継続的に監視して、脆弱性に関する最新情報を入手してください。 一般的な脆弱性と危険性 (CVE) ウェブサイトと 全国脆弱性データベース (NVD) を使用して、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読してください。
- 安全なリンクを介して信頼できるソースからのみ入手したコンポーネントを使用してください。たとえば、信頼できるプロバイダーであれば、研究者と協力して、研究者がコンポーネントから発見したCVEを開示したいと思うでしょう。
- 使用する依存関係のバージョンを意図的に選択し、必要な場合にのみアップグレードしてください。NVD などのよく知られたソースで脆弱性が公開されているサードパーティーのライブラリを使って作業してください。
- 保守されていない、またはサポートされていないライブラリやコンポーネントを監視します。パッチを適用できない場合は、発見された問題を監視、検出、または保護するための仮想パッチの導入を検討してください。
- 開発者ツールを定期的に更新します。
- CI/CD パイプライン内のコンポーネントをこのプロセスの一部として扱い、変更を文書化しながら強化および監視します。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、作成されたアーティファクト、ロギングシステムとログ、SaaS、アーティファクトリポジトリ、コンテナレジストリなどのサードパーティ統合にも適用する必要があります。また、開発者ワークステーションから CI/CD パイプラインまで、システムを強化する必要もあります。また、強固な ID 管理ポリシーとアクセス管理ポリシーを適用しながら、多要素認証も有効にしてください。
ソフトウェアサプライチェーンの障害からの保護は、高度に相互接続された世界において、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威から身を守るために、アプリケーションとコンポーネントのライフサイクル全体にわたって強力な防御策を講じる必要があります。
SCW トラストスコアに関する注記™ ユーザ:
OWASP Top 10 2025基準に合わせてラーニングプラットフォームのコンテンツを更新するにあたり、フルスタック開発者のトラストスコアに若干の調整が見られる場合があります。質問がある場合やサポートが必要な場合は、カスタマーサクセス担当者にお問い合わせください。
待望の到着とともに 2025 オワストップテン、企業には、リストの上位近くに潜んでいる脅威を含め、特に注意すべき新しい脅威がいくつかあります。 ソフトウェアサプライチェーンの障害オープンウェブ・アプリケーション・セキュリティ・プロジェクトが4年に一度実施する、ウェブ・アプリケーション・セキュリティに関する最も深刻なリスクのリストでは、新しいカテゴリーとして登場しましたが、まったく新しいカテゴリーではありません。このリスクは、企業がまだ深刻に受け止めていないとしても、非常に深刻に受け止める必要があります。
ソフトウェアサプライチェーンの障害は、2021年に前のリストのカテゴリーから外れました。 脆弱で時代遅れのコンポーネントそして今では、依存関係、ビルドシステム、配布インフラストラクチャなど、ソフトウェアエコシステム全体にわたる幅広い侵害が含まれています。そして、次のような注目度の高いサプライチェーン攻撃による被害を考えると、リストに載っていることは特に驚くべきことではありません。 ソーラーウィンズ 2019年には、 バイビットハック 今年初め、そして現在進行中の シャイ・フルード作戦、特に厄介な、自己複製型のnpmワームで、公開された開発者環境に大混乱をもたらします。
OWASPトップ10は概ね一貫しており、その間に更新はあるものの、4年ごとにリストが表示されるのにふさわしいものです。通常、リストには多少の入れ替えがあります。たとえば、長年の常駐者であるインジェクションは3位から5位に下がり、インセキュア・デザインは2位下がって6位になり、セキュリティ・ミスコンフィグレーションは5位から2位に跳ね上がります。ブロークン・アクセス・コントロールは引き続きトップの座を維持しています。2025年版には、前述の「ソフトウェア・サプライ・チェーンの失敗」と「例外的条件の不適切な取り扱い」という2つの新項目が加わり、10位にランクインしました。ここでは、サプライチェーンの脆弱性に関する新しいエントリを詳しく見ていきます。
脆弱性はほぼどこでも発生する可能性がある
ソフトウェアサプライチェーンの障害は、10件のエントリの中でOWASPの調査データでの発生件数が最も少ないという点で、リストではやや珍しいカテゴリです。ただし、このカテゴリ内の5つの共通弱点列挙(CWE)の結果として、エクスプロイトとインパクトの平均スコアも最も高かった。OWASPは、このカテゴリの存在感が限られているのは、テストにおける現在の課題によるものであり、最終的には改善する可能性があると疑っているという。いずれにしても、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を最大の懸念事項として挙げています。
最も サプライチェーンの脆弱性 上流と下流のパートナーや第三者が関わる、相互に関連し合うビジネスから脱却して成長していく。すべてのインタラクションには、コンポーネント (依存関係やライブラリともいう) が保護されていないソフトウェアが関わっています。自社のコンポーネント (クライアントサイド、サーバーサイド、またはネストされた) のすべてのバージョンと (他のライブラリからの) 推移的な依存関係を追跡しないことで、企業が脆弱になったり、サポートされていなかったり、古くなったりしていないことを確認できなければ、企業は脆弱になりかねません。通常、コンポーネントはアプリケーションと同じ権限を持っているため、サードパーティやオープンソースのリポジトリから提供されたコンポーネントを含め、侵害されたコンポーネントは広範囲に及ぶ可能性があります。タイムリーなパッチ適用と更新が不可欠です。月ごとまたは四半期ごとの定期的なパッチスケジュールでも、企業は数日または数か月間危険にさらされることがあります。
同様に、統合開発環境 (IDE) や、コードリポジトリ、イメージおよびライブラリリポジトリ、またはサプライチェーンの他の部分への変更を追跡していない場合、サプライチェーンに変更管理プロセスがないと、脆弱性が生じる可能性があります。組織は、アクセス制御と最小権限ポリシーを適用してサプライチェーンを強化する必要があります。これにより、個人が監督なしにコードを作成して本番環境にデプロイしたり、信頼できないソースからコンポーネントをダウンロードしたりできないようにする必要があります。
サプライチェーン攻撃にはさまざまな形態があります。この悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まりました。約18,000人の顧客が影響を受けました。実際に影響を受けた企業の数は100社近くでしたが、その中には大手企業や政府機関も含まれていました。北朝鮮にまでさかのぼる15億ドルのBybitハッキング事件には、侵害された暗号通貨アプリが含まれていました。最近の グラスワーム サプライチェーン攻撃には、Open VSX Marketplaceに感染した目に見えない自己複製コードが含まれていました。
サプライ・チェーン・エクスプロイトの防止
サプライチェーン攻撃にはシステムの相互依存関係が伴うため、それらに対する防御には包括的なアプローチが必要です。OWASPは、次のようなパッチ管理プロセスを導入するなど、攻撃を防ぐためのヒントを提供しています。
- すべてのソフトウェアのソフトウェア部品表 (SBOM) を把握し、SBOM を一元管理します。SPDX や CycloneDX などの標準形式を使用して SBOM を後で生成するよりも、ビルド中に SBOM を生成し、リリースごとに少なくとも 1 つの機械可読な SBOM を公開するのが最善です。
- 推移的な依存関係を含むすべての依存関係を追跡し、未使用の依存関係を削除し、不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- 次のようなツールを使用して、クライアント側とサーバー側の両方のコンポーネントとその依存関係を継続的にインベントリします。 OWASP 依存関係チェック または retire.js。
- 次のような原因を継続的に監視して、脆弱性に関する最新情報を入手してください。 一般的な脆弱性と危険性 (CVE) ウェブサイトと 全国脆弱性データベース (NVD) を使用して、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読してください。
- 安全なリンクを介して信頼できるソースからのみ入手したコンポーネントを使用してください。たとえば、信頼できるプロバイダーであれば、研究者と協力して、研究者がコンポーネントから発見したCVEを開示したいと思うでしょう。
- 使用する依存関係のバージョンを意図的に選択し、必要な場合にのみアップグレードしてください。NVD などのよく知られたソースで脆弱性が公開されているサードパーティーのライブラリを使って作業してください。
- 保守されていない、またはサポートされていないライブラリやコンポーネントを監視します。パッチを適用できない場合は、発見された問題を監視、検出、または保護するための仮想パッチの導入を検討してください。
- 開発者ツールを定期的に更新します。
- CI/CD パイプライン内のコンポーネントをこのプロセスの一部として扱い、変更を文書化しながら強化および監視します。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、作成されたアーティファクト、ロギングシステムとログ、SaaS、アーティファクトリポジトリ、コンテナレジストリなどのサードパーティ統合にも適用する必要があります。また、開発者ワークステーションから CI/CD パイプラインまで、システムを強化する必要もあります。また、強固な ID 管理ポリシーとアクセス管理ポリシーを適用しながら、多要素認証も有効にしてください。
ソフトウェアサプライチェーンの障害からの保護は、高度に相互接続された世界において、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威から身を守るために、アプリケーションとコンポーネントのライフサイクル全体にわたって強力な防御策を講じる必要があります。
SCW トラストスコアに関する注記™ ユーザ:
OWASP Top 10 2025基準に合わせてラーニングプラットフォームのコンテンツを更新するにあたり、フルスタック開発者のトラストスコアに若干の調整が見られる場合があります。質問がある場合やサポートが必要な場合は、カスタマーサクセス担当者にお問い合わせください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身に付けることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
待望の到着とともに 2025 オワストップテン、企業には、リストの上位近くに潜んでいる脅威を含め、特に注意すべき新しい脅威がいくつかあります。 ソフトウェアサプライチェーンの障害オープンウェブ・アプリケーション・セキュリティ・プロジェクトが4年に一度実施する、ウェブ・アプリケーション・セキュリティに関する最も深刻なリスクのリストでは、新しいカテゴリーとして登場しましたが、まったく新しいカテゴリーではありません。このリスクは、企業がまだ深刻に受け止めていないとしても、非常に深刻に受け止める必要があります。
ソフトウェアサプライチェーンの障害は、2021年に前のリストのカテゴリーから外れました。 脆弱で時代遅れのコンポーネントそして今では、依存関係、ビルドシステム、配布インフラストラクチャなど、ソフトウェアエコシステム全体にわたる幅広い侵害が含まれています。そして、次のような注目度の高いサプライチェーン攻撃による被害を考えると、リストに載っていることは特に驚くべきことではありません。 ソーラーウィンズ 2019年には、 バイビットハック 今年初め、そして現在進行中の シャイ・フルード作戦、特に厄介な、自己複製型のnpmワームで、公開された開発者環境に大混乱をもたらします。
OWASPトップ10は概ね一貫しており、その間に更新はあるものの、4年ごとにリストが表示されるのにふさわしいものです。通常、リストには多少の入れ替えがあります。たとえば、長年の常駐者であるインジェクションは3位から5位に下がり、インセキュア・デザインは2位下がって6位になり、セキュリティ・ミスコンフィグレーションは5位から2位に跳ね上がります。ブロークン・アクセス・コントロールは引き続きトップの座を維持しています。2025年版には、前述の「ソフトウェア・サプライ・チェーンの失敗」と「例外的条件の不適切な取り扱い」という2つの新項目が加わり、10位にランクインしました。ここでは、サプライチェーンの脆弱性に関する新しいエントリを詳しく見ていきます。
脆弱性はほぼどこでも発生する可能性がある
ソフトウェアサプライチェーンの障害は、10件のエントリの中でOWASPの調査データでの発生件数が最も少ないという点で、リストではやや珍しいカテゴリです。ただし、このカテゴリ内の5つの共通弱点列挙(CWE)の結果として、エクスプロイトとインパクトの平均スコアも最も高かった。OWASPは、このカテゴリの存在感が限られているのは、テストにおける現在の課題によるものであり、最終的には改善する可能性があると疑っているという。いずれにしても、調査回答者の圧倒的多数がソフトウェアサプライチェーンの障害を最大の懸念事項として挙げています。
最も サプライチェーンの脆弱性 上流と下流のパートナーや第三者が関わる、相互に関連し合うビジネスから脱却して成長していく。すべてのインタラクションには、コンポーネント (依存関係やライブラリともいう) が保護されていないソフトウェアが関わっています。自社のコンポーネント (クライアントサイド、サーバーサイド、またはネストされた) のすべてのバージョンと (他のライブラリからの) 推移的な依存関係を追跡しないことで、企業が脆弱になったり、サポートされていなかったり、古くなったりしていないことを確認できなければ、企業は脆弱になりかねません。通常、コンポーネントはアプリケーションと同じ権限を持っているため、サードパーティやオープンソースのリポジトリから提供されたコンポーネントを含め、侵害されたコンポーネントは広範囲に及ぶ可能性があります。タイムリーなパッチ適用と更新が不可欠です。月ごとまたは四半期ごとの定期的なパッチスケジュールでも、企業は数日または数か月間危険にさらされることがあります。
同様に、統合開発環境 (IDE) や、コードリポジトリ、イメージおよびライブラリリポジトリ、またはサプライチェーンの他の部分への変更を追跡していない場合、サプライチェーンに変更管理プロセスがないと、脆弱性が生じる可能性があります。組織は、アクセス制御と最小権限ポリシーを適用してサプライチェーンを強化する必要があります。これにより、個人が監督なしにコードを作成して本番環境にデプロイしたり、信頼できないソースからコンポーネントをダウンロードしたりできないようにする必要があります。
サプライチェーン攻撃にはさまざまな形態があります。この悪名高いSolarWinds攻撃は、ロシアの攻撃者が同社の人気ネットワーク管理ソフトウェアのアップデートにマルウェアを注入したことから始まりました。約18,000人の顧客が影響を受けました。実際に影響を受けた企業の数は100社近くでしたが、その中には大手企業や政府機関も含まれていました。北朝鮮にまでさかのぼる15億ドルのBybitハッキング事件には、侵害された暗号通貨アプリが含まれていました。最近の グラスワーム サプライチェーン攻撃には、Open VSX Marketplaceに感染した目に見えない自己複製コードが含まれていました。
サプライ・チェーン・エクスプロイトの防止
サプライチェーン攻撃にはシステムの相互依存関係が伴うため、それらに対する防御には包括的なアプローチが必要です。OWASPは、次のようなパッチ管理プロセスを導入するなど、攻撃を防ぐためのヒントを提供しています。
- すべてのソフトウェアのソフトウェア部品表 (SBOM) を把握し、SBOM を一元管理します。SPDX や CycloneDX などの標準形式を使用して SBOM を後で生成するよりも、ビルド中に SBOM を生成し、リリースごとに少なくとも 1 つの機械可読な SBOM を公開するのが最善です。
- 推移的な依存関係を含むすべての依存関係を追跡し、未使用の依存関係を削除し、不要な機能、コンポーネント、ファイル、ドキュメントを削除します。
- 次のようなツールを使用して、クライアント側とサーバー側の両方のコンポーネントとその依存関係を継続的にインベントリします。 OWASP 依存関係チェック または retire.js。
- 次のような原因を継続的に監視して、脆弱性に関する最新情報を入手してください。 一般的な脆弱性と危険性 (CVE) ウェブサイトと 全国脆弱性データベース (NVD) を使用して、使用しているコンポーネントに関連するセキュリティ脆弱性に関する電子メールアラートを購読してください。
- 安全なリンクを介して信頼できるソースからのみ入手したコンポーネントを使用してください。たとえば、信頼できるプロバイダーであれば、研究者と協力して、研究者がコンポーネントから発見したCVEを開示したいと思うでしょう。
- 使用する依存関係のバージョンを意図的に選択し、必要な場合にのみアップグレードしてください。NVD などのよく知られたソースで脆弱性が公開されているサードパーティーのライブラリを使って作業してください。
- 保守されていない、またはサポートされていないライブラリやコンポーネントを監視します。パッチを適用できない場合は、発見された問題を監視、検出、または保護するための仮想パッチの導入を検討してください。
- 開発者ツールを定期的に更新します。
- CI/CD パイプライン内のコンポーネントをこのプロセスの一部として扱い、変更を文書化しながら強化および監視します。
変更管理または追跡プロセスは、CI/CD設定、コードリポジトリ、サンドボックス、統合開発環境(IDE)、SBOMツール、作成されたアーティファクト、ロギングシステムとログ、SaaS、アーティファクトリポジトリ、コンテナレジストリなどのサードパーティ統合にも適用する必要があります。また、開発者ワークステーションから CI/CD パイプラインまで、システムを強化する必要もあります。また、強固な ID 管理ポリシーとアクセス管理ポリシーを適用しながら、多要素認証も有効にしてください。
ソフトウェアサプライチェーンの障害からの保護は、高度に相互接続された世界において、多面的かつ継続的な取り組みです。組織は、この急速に進化する現代の脅威から身を守るために、アプリケーションとコンポーネントのライフサイクル全体にわたって強力な防御策を講じる必要があります。
SCW トラストスコアに関する注記™ ユーザ:
OWASP Top 10 2025基準に合わせてラーニングプラットフォームのコンテンツを更新するにあたり、フルスタック開発者のトラストスコアに若干の調整が見られる場合があります。質問がある場合やサポートが必要な場合は、カスタマーサクセス担当者にお問い合わせください。
目次
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
