Webアプリ開発者のためのセキュリティ入門：OWASP Top 10 2025：Mishandling of Exceptional Conditions（例外条件の誤処理）

OWASP Top 10 を通じて、Webアプリケーションのセキュリティを学んでいきましょう。

OWASPとOWASP Top10についてはこちら。

https://biz.addisteria.com/what_is_owasp_top10/

今回は最新のOWASP TOP10 2025*で10位の座のMishandling of Exceptional Conditions（例外条件の誤処理）について解説します。こちら、2025年に初登場の項目となります。

※2025年版は現在 Release Candidate（候補版）として公開されており、正式版では内容が調整される可能性があります。

Laravelアプリケーション開発時の対策や、バイブコーディング（生成AIコーディング）でも役立つ対策も考えていきますね。

Mishandling of Exceptional Conditions（例外条件の誤処理）
1. CWE（共通脆弱性タイプ）
対策
Laravelでの対策
バイブコーディング（生成AIコーディング）での注意点
さいごに

Mishandling of Exceptional Conditions（例外条件の誤処理）

Mishandling of Exceptional Conditions（例外条件の誤処理）について、公式説明ページはこちら：

A10 Mishandling of Exceptional Conditions - OWASP Top 10:2025 RC1

OWASP Top 10:2025 RC1

これはソフトウェアが予測不可能であったり、通常とは異なる処理によってエラーになることを指します。さらに、エラー時の動作がしっかり設定されていないことです。

エラーが全く発生しないソフトウェアを作ることは不可能だと思います。ただ、エラーが起こった時に「安全にエラーになる（fail securely)」ようにすることは可能です。

このことを強調するために、今回、このMishandling of Exceptional Conditions（例外条件の誤処理）という項目が新たに作られたと考えられます。

CWE（共通脆弱性タイプ）

このカテゴリーに含まれる主なCWE（脆弱性分類）は次のとおりです。

CWE-209: 機密情報を含むエラーメッセージの生成
CWE-234: パラメータの欠落への対応失敗
CWE-476: NULLポインタ参照
CWE-636: 安全に失敗しない（フェイルオープン）

対策

次のような対策が考えられます。

エラーが発生する場所で直接キャッチして処理する
ユーザーに分かりやすいエラーメッセージを表示（機密情報は含めない）
ログにイベントを記録
必要に応じてアラートを発行
グローバル例外ハンドラを設置（見落としに備える）
トランザクション途中でエラーが発生したら、完全にロールバック

さらに、レート制限、リソースクォータ、スロットリングなどの制限を可能な限り追加して、そもそも例外条件を防ぐようにします。

Laravelでの対策

Laravelでは、エラーハンドリング用のマニュアルページが用意されています。

Error Handling - Laravel 12.x - The PHP Framework For Web Artisans

Laravel is a PHP web application framework with expressive, elegant syntax. We’ve already laid the foundation — freeing you to create without sweating the small...

前回もご紹介したとおり、ログレベルに応じた適切なログ出力を行うことも重要です。

Webアプリ開発者のためのセキュリティ入門：OWASP Top 10 2025：Logging & Alerting Failures（ログとモニタリングの失敗）

OWASP Top 10 を通じて、Webアプリケーションのセキュリティを学んでいきましょう。 OWASPとOWASP Top10についてはこちら。今回は最新のOWASP TOP10 2025*で9位の座のLogg...

またLaravel固有ではないですが、例えば外部APIを利用する場合や、データベース接続が不安定な場合など、サーバー側でエラーを確実に予測できないような場合には、Try Catch処理は入れておいたほうがいいでしょう。

public function isValid(string $value): bool
{
    try {
        // 値をバリデーション…
    } catch (Throwable $e) {
        report($e);

        return false;
    }
}

public function isValid(string $value): bool

{

try {

// 値をバリデーション…

} catch (Throwable $e) {

report($e);

return false;

}

try catchとは、エラー（例外）が発生する可能性のある処理をtryブロックで囲み、エラーが発生した場合のcatch処理を記述する仕組みです。失敗した場合に「catch」した箇所の処理を行うことで、フリーズしてしまったりするのを防げます。

バイブコーディング（生成AIコーディング）での注意点

バイブコーディング（生成AIコーディング）の場合、生成AI側では、例外処理をしっかり組み込んでくれないケースが考えられます。

現在のわたしの経験上ですが、生成AIは「動作する」ことに重点を置いてコードを書いてくれます。そのため、惨事に至るケースも少なくないでしょう。

もし動かなかった場合にはどうするか。こちらが指示をしていく意識を持っておくことが大事です。

さいごに

Webアプリは、ほぼかならず、エラーが発生すると思っておいた方がいいでしょう。

原因としては、コードが不適切であったり、あるいはネットワークエラーなど環境が原因となる場合もあります。

こういった場合にどうするか。適切な「例外処理」をしっかり組み込んでおかないと、思わぬ二次災害が発生します。ぜひ、安全に失敗するようにしておきましょう。

今回新たに10位にランクインしたこちらの項目、しっかりと対策しておきたいところです。

さてさて、ここまででOWASP Top10について解説終わりです。また追加で何か書くかもしれません。よろしければ、SNSなどフォローしておいてくださいね。

OWASP Top10で学ぶセキュリティ、最初からご覧になりたい方はこちら。

準備中