Webアプリ開発者のためのセキュリティ入門：OWASP Top 10 2025「Broken Access Control（アクセス制御の不備）」

OWASP Top 10 を通じて、Webアプリケーションのセキュリティを学んでいきましょう。

OWASP　Top10はWebアプリの代表的なセキュリティリスクをまとめた「10大リスク」リスト。

世界中の開発者・企業・教育機関が、セキュリティに関する共通基準として活用している指針といえます。

https://biz.addisteria.com/what_is_owasp_top10/

今回は最新のOWASP TOP10 2025*で、2021に続きトップ１位の座に輝いたBroken Access Control（アクセス制御の不備）について解説します。

※2025年版は現在 Release Candidate（候補版）として公開されており、正式版では内容が調整される可能性があります。

Laravelアプリケーション開発時の対策や、バイブコーディング（生成AIコーディング）でも役立つ対策も考えていきますね。

Broken Access Control（アクセス制御の不備）

公式ページはこちら：

Broken Access Controlは、「認可（Authorization） の不備」と解釈できます。

誰が何をどこまでできるか―その制御が正しく設定されていない状態や、ルールが破られてしまう状態を指します。

たとえば、

といったケースです。

このカテゴリーに含まれる主なCWE（脆弱性分類）は次のとおりです。

CWE918 SSRFは、サーバーを踏み台にして、本来アクセスできない内部ネットワークなどに不正なリクエストを送信する脆弱性のことです。以前は単独でランキングしていましたが、OWASP TOP10 2025年度版では、Broken Access Controlの中に統合されました。

これに対して、下記のような対策が挙げられます。

Laravelで開発する場合、Gate や Policy といった機能により、認可（Authorization）をアプリ全体で一貫して管理できます。また、特定のルートを守る Middleware も有効です。

GateやMiddlewareについては、拙著『Laravelの教科書』で詳しく解説しています。

クリックするとamazonページへ。

↓↓↓

また、運営中の学習サイト「Laravelの教科書」の上級編でも、実際のアクセス制御を扱っています。ご興味あれば、下記ボタンをクリックして詳細をご覧ください（基礎編は無料です）。

最近では、生成AIツールを活用してコードを生成する方法が広まっています。便利な一方で、生成されたコードの権限設定が抜け落ちている ケースも少なくありません。

たとえば、

といった「AIが生成したコードを信じすぎて検証しない」リスクが発生しがちです。

実際に、管理者アカウントの乗っ取りから、すべてのユーザーデータが漏洩する事件も発生しています。

レコードの所有者単位で制御・「必要最小限の権限しか与えない」という原則を意識し、生成されたコードをレビュー・補強することが重要です。

Broken Access Control（アクセス制御の不備）は、技術的な設定ミスというより、設計段階の考え方の甘さ から生まれることも多い脆弱性。

とはいえ、「誰が何をどこまでできるか」は、Webアプリごとに異なるため、機械的な一律チェックが難しい部分といえます。

だからこそ、リスクが高いとして、トップ10の最初に位置付けられているのですね。

安全なWebアプリを開発するためには、設計段階で、この部分への対策をしっかりと考える必要があります。

OWASP Top10で学ぶセキュリティ、２個目の項目はこちら。