本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

用語辞典

OWASP Top 10 とは — Webアプリで最も重大な10大リスクの定番リスト

OWASP Top 10 は、Webアプリで最も重大とされるセキュリティリスクを10個に整理した定番リストです。アクセス制御の不備・インジェクション・設定ミスなど各項目が何を指すのか、そして自分のアプリで何を優先して守るべきかを、当サイトの各解説へのリンク付きで早見表にします。

公開日 2026-07-04 更新日 2026-07-04 5分で読める

「OWASP Top 10」は、Webアプリのセキュリティを語るときの共通言語です。ここでは各項目が何を指すのかを、攻撃手順ではなく“守る観点”として整理し、当サイトの詳しい解説へつなぎます。

10大リスクの早見表(2021年版)

各項目は「カテゴリ」です。自分のアプリに当てはめて、上から点検の観点として使います。

#リスクざっくり何のこと当サイトの関連解説
A01アクセス制御の不備ログイン=許可、になっている。所有者チェック欠落認証と認可の違い / IDOR
A02暗号化の失敗秘密の平文保存・弱い暗号・TLS不備公開鍵暗号 / パスワードのハッシュ化
A03インジェクション入力でクエリ/コマンドを乗っ取られるSQLインジェクション / XSS
A04安全でない設計設計段階で脅威を考えていない最低限チェックリスト
A05セキュリティの設定ミス本番デバッグ・既定値・不要機能の露出CORS
A06脆弱で古いコンポーネント依存の既知CVEを放置依存CVEの監視
A07認証の不備弱い認証・総当り耐性なし・多要素なし二要素認証 / パスキー
A08データ・ソフトの完全性の不備供給網・更新経路の改ざんセキュリティの歴史(供給網攻撃)
A09ログと監視の不備事故を検知・追跡できない監査ログの重要性
A10SSRFサーバに内部宛リクエストをさせられるSSRF

使い方:チェックリストではなく“優先順位づけの出発点”

Top 10 を“埋めれば終わり”にしない

Top 10 は最も代表的な10カテゴリであって、これだけ潰せば十分という保証ではありません。優先順位づけと抜け漏れ確認の出発点として使い、依存CVEの監視・秘密の管理・バックアップ・検知といった、Top 10 に直接現れない土台も併せて固めるのが実務です。

1

上位(A01〜A03)から自分のアプリに当てはめる

まずアクセス制御・暗号化・インジェクションを自分のコードで点検。最頻の事故源はここに集中する。

2

設定と依存(A05・A06)を機械的に確認

本番設定の締め(デバッグ露出なし)と、依存CVEの機械監視を仕組みにする。

3

検知(A09)を事故る前に用意する

ログと監視が無ければ、事故に気づけず追跡もできない。最低限の監査・アクセスログを保持する。

当サイトの視点:ラベルではなく“自分のコードに当てはめる”道具

Top 10 の価値は、番号を暗記することではなく、各カテゴリを自分のアプリに当てはめて点検することにあります。当サイトは各リスクを「あなたがどう防ぐか」に翻訳した個別解説を用意しています。Top 10 を入口に、まず上位(アクセス制御・暗号化・インジェクション)から自分のコードを見てください。

次に読む

よくある質問

QOWASP Top 10 とは何ですか?
A

非営利団体 OWASP(Open Worldwide Application Security Project)が数年ごとに公開する、『Webアプリで最も重大とされるセキュリティリスク』を10個に整理したリストです。特定の攻撃手順集ではなく“リスクのカテゴリ”で、開発者や運営者が『最低限どこを見るべきか』を確認する共通言語として広く使われています。最新版は2021年版です。

QOWASP Top 10 の1位は何ですか?
A

2021年版の筆頭は『アクセス制御の不備(Broken Access Control)』です。ログインは通っても、そのユーザーが本当にその操作・そのデータに触れてよいかを確認していない、という設計の穴を指します。IDOR(他人のIDを指定して他人のデータに届く)もこのカテゴリの典型例です。

QOWASP Top 10 に載っていれば安全ですか?
A

いいえ。Top 10 は『最も代表的な10カテゴリ』であり、これだけを潰せば十分というチェックリストではありません。あくまで優先順位づけと抜け漏れ確認の出発点として使い、依存パッケージのCVE監視・秘密の管理・バックアップ・検知など、Top 10 に直接現れない土台も併せて固めるのが実務です。