OWASP

OWASP Top 10

Web アプリケーションの重大なセキュリティリスク Top 10。2013 年から 2025 年までの推移を一覧で確認でき、年ごとのランキング順にソート可能

OWASP Top 10 とは

OWASP（Open Web Application Security Project）は、Web アプリケーションセキュリティの向上を目的としたオープンなコミュニティです。

OWASP Top 10 は、Web アプリケーションで最も重大なセキュリティリスクを 10 項目にまとめたもので、数年ごとに更新されます。

開発者・セキュリティ担当者の共通言語として、セキュリティ要件の定義やコードレビューの基準として広く使われています。

リスク	2025	2021	2017	2013	関連脅威
アクセス制御の不備	1	1	5	7	cors db-access-control session-management csrf
セキュリティの設定ミス	2	5	6	5	security-headers content-security-policy hardening
ソフトウェアサプライチェーンの不備	3	--	--	--	supply-chain-attack
暗号化の失敗	4	2	3	6	tls-ssl symmetric-encryption asymmetric-encryption hashing db-encryption
インジェクション	5	3	1	1	sql-injection command-injection xss
安全でない設計	6	4	--	--	secure-coding
認証の失敗	7	7	2	2	oauth2 oidc jwt session-management password-policy
データ整合性と機密性の不備	8	8	8	--	deserialization
ログとアラートの不備	9	9	10	--	logging-monitoring
例外条件の不適切な処理	10	--	--	--
脆弱で古いコンポーネント	--	6	9	--	supply-chain-attack
SSRF	--	10	--	--	firewall zero-trust
クロスサイトスクリプティング	--	--	7	3	xss xss-reflected xss-stored xss-dom
安全でないオブジェクト直接参照	--	--	4	4	db-access-control
XML 外部エンティティ	--	--	4	--
クロスサイトリクエストフォージェリ	--	--	--	8	csrf
既知の脆弱性のあるコンポーネント	--	--	--	9	supply-chain-attack
未検証のリダイレクトとフォワード	--	--	--	10

OWASP Top 10 はあくまで「最も重大なリスク」を 10 項目に絞ったものであり、ここに含まれていない脅威を無視してよいわけではありません。

たとえば CSRF（クロスサイトリクエストフォージェリ）は 2013 年の Top 10 に含まれていましたが、フレームワーク側の対策が進んだことで 2017 年以降はランク外となりました。

しかし、対策が不十分な環境では依然として有効な攻撃手法です。

また、OWASP は Web アプリケーション以外にも LLM Applications Top 10（大規模言語モデル向け）、API Security Top 10、Mobile Top 10 など、領域別のリスクランキングを公開しています。

自組織のシステム構成に応じて、関連するリストも併せて確認することを推奨します。