「OWASP Top 10」は、Webアプリのセキュリティを語るときの共通言語です。ここでは各項目が何を指すのかを、攻撃手順ではなく“守る観点”として整理し、当サイトの詳しい解説へつなぎます。
10大リスクの早見表(2021年版)
各項目は「カテゴリ」です。自分のアプリに当てはめて、上から点検の観点として使います。
| # | リスク | ざっくり何のこと | 当サイトの関連解説 |
|---|---|---|---|
| A01 | アクセス制御の不備 | ログイン=許可、になっている。所有者チェック欠落 | 認証と認可の違い / IDOR |
| A02 | 暗号化の失敗 | 秘密の平文保存・弱い暗号・TLS不備 | 公開鍵暗号 / パスワードのハッシュ化 |
| A03 | インジェクション | 入力でクエリ/コマンドを乗っ取られる | SQLインジェクション / XSS |
| A04 | 安全でない設計 | 設計段階で脅威を考えていない | 最低限チェックリスト |
| A05 | セキュリティの設定ミス | 本番デバッグ・既定値・不要機能の露出 | CORS |
| A06 | 脆弱で古いコンポーネント | 依存の既知CVEを放置 | 依存CVEの監視 |
| A07 | 認証の不備 | 弱い認証・総当り耐性なし・多要素なし | 二要素認証 / パスキー |
| A08 | データ・ソフトの完全性の不備 | 供給網・更新経路の改ざん | セキュリティの歴史(供給網攻撃) |
| A09 | ログと監視の不備 | 事故を検知・追跡できない | 監査ログの重要性 |
| A10 | SSRF | サーバに内部宛リクエストをさせられる | SSRF |
使い方:チェックリストではなく“優先順位づけの出発点”
Top 10 を“埋めれば終わり”にしない
Top 10 は最も代表的な10カテゴリであって、これだけ潰せば十分という保証ではありません。優先順位づけと抜け漏れ確認の出発点として使い、依存CVEの監視・秘密の管理・バックアップ・検知といった、Top 10 に直接現れない土台も併せて固めるのが実務です。
上位(A01〜A03)から自分のアプリに当てはめる
まずアクセス制御・暗号化・インジェクションを自分のコードで点検。最頻の事故源はここに集中する。
設定と依存(A05・A06)を機械的に確認
本番設定の締め(デバッグ露出なし)と、依存CVEの機械監視を仕組みにする。
検知(A09)を事故る前に用意する
ログと監視が無ければ、事故に気づけず追跡もできない。最低限の監査・アクセスログを保持する。
当サイトの視点:ラベルではなく“自分のコードに当てはめる”道具
Top 10 の価値は、番号を暗記することではなく、各カテゴリを自分のアプリに当てはめて点検することにあります。当サイトは各リスクを「あなたがどう防ぐか」に翻訳した個別解説を用意しています。Top 10 を入口に、まず上位(アクセス制御・暗号化・インジェクション)から自分のコードを見てください。
次に読む
- 基礎:認証と認可の違い(A01の中心)/ セキュリティ最低限チェックリスト
- 用語:SQLインジェクション / IDOR / SSRF
- 歴史:セキュリティの歴史(年表)
よくある質問
QOWASP Top 10 とは何ですか?
非営利団体 OWASP(Open Worldwide Application Security Project)が数年ごとに公開する、『Webアプリで最も重大とされるセキュリティリスク』を10個に整理したリストです。特定の攻撃手順集ではなく“リスクのカテゴリ”で、開発者や運営者が『最低限どこを見るべきか』を確認する共通言語として広く使われています。最新版は2021年版です。
QOWASP Top 10 の1位は何ですか?
2021年版の筆頭は『アクセス制御の不備(Broken Access Control)』です。ログインは通っても、そのユーザーが本当にその操作・そのデータに触れてよいかを確認していない、という設計の穴を指します。IDOR(他人のIDを指定して他人のデータに届く)もこのカテゴリの典型例です。
QOWASP Top 10 に載っていれば安全ですか?
いいえ。Top 10 は『最も代表的な10カテゴリ』であり、これだけを潰せば十分というチェックリストではありません。あくまで優先順位づけと抜け漏れ確認の出発点として使い、依存パッケージのCVE監視・秘密の管理・バックアップ・検知など、Top 10 に直接現れない土台も併せて固めるのが実務です。