OWASP Top 10 で学ぶ Webセキュリティ ─ 生成AI時代こそ必須の基礎！

OWASP Top10ってご存じですか？

一言でいうと、Webアプリの代表的なセキュリティリスクをまとめた「10大リスク」リストです。

Webエンジニアなら、ぜひ知っておきたい基本知識です。

生成AI時代はコードを書くのが便利になった分、セキュリティの懸念が増していると感じています。

そこで、あらためて、OWASP Top10をもとにセキュリティについて学びなおしていきたいと思います。

「セキュリティ対策しっかりしなきゃ！」「でも、何をしたら…」と思っていたら、ぜひ、本連載チェックしてくださいね。

OWASPとは？セキュリティ向上を目的とした非営利団体

今回はまず、OWASPとは何かからお伝えしますね。

こちら正式名称は「Open Web Application Security Project（オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト）」

日本では一般的にあまり知られていませんが、ソフトウェアのセキュリティ向上を目的とした非営利団体です。OWASPが公開するガイドラインや指標は、Web セキュリティ分野で国際的に広く参照されています。

わたし自身も、実体験を通じて、このことを知りました。

わたしは以前、海外企業の日本窓口をしていました。その会社の製品は、翻訳業務で使うクラウドソリューションです。

ある日、日本企業からセキュリティについて色々な質問が出た際に、本社側からOWASPに基づくセキュリティレポートを提示されました。

一瞬「え、ナニコレ」と思いました。実はその時まで、わたしはOWASPについて、よく知りませんでした！（そして日本のお客様側でも、どうやら、これが何かご存じなかった様子でした。）

あわてて調べると、どうやらOWASP は国際的にセキュリティ評価の指標として広く参照されていることが分かりました。

そこでお客様側にも、（まるで熟知しているかのように＾＾）Owaspとレポートの内容を説明させて頂いたものです。

このようにOWASP を基準にしたセキュリティ対策は、国際的なビジネスでも信頼性を示すために活用されています。

Owasp Top10とは？セキュリティリスクをまとめたランキング

では次に、Owasp Top10についてお伝えします。Owasp Top10は、OWASPが作っているセキュリティリスクランキング。2003年にリリースされ、その後、約３～4年ごとに更新されています。

とはいえ、きっちり３～4年というわけでもなく、これまでは次のペースで更新されています。

【Owasp Top１０ 更新年】

ランキングは、最新の脅威や攻撃に対応するために、更新を続けています。

以前は下位にランクインしていた項目が翌年には上位になったり、あるいは逆に上位にランクインしていた項目が翌年はランクダウンしたりといったこともあります。

また、これまでになかった新しい項目が追加されることも。

ちなみに、OWASP Top 10 の 2025 版（Release Candidate）は、2025年11月6日に公開されています。最終版も近々リリースされると思われます。

Introduction - OWASP Top 10:2025 RC1

OWASP Top 10:2025 RC1

owasp.org

OWASP Top10をどう活用するか？

OWASP Top10には、インジェクションリスクや、暗号化の失敗等のリスクが盛り込まれています。

読めばリスクの内容は分かりますが、大事なのは、次の2点です。

• そのリスクでどのような攻撃が起こり得るのか？
• Webアプリを開発する際、具体的にどのような対策を行うべきか？

わたしのブログは、PHPのフレームワークLaravelについて多く扱っています。そこで、Laravelを使って開発する際の対策について、解説していこうと思います。

併せて、最近増えている生成AIコーディングを行う時の対策も盛り込んでいきます。

さいごに

セキュリティリスクは、「これだけでOK」と対策を単純化できないものもあります。結局のところ、多くのセキュリティの問題は、不完全な仕様が原因であったりします。

つまりセキュリティを強化するには、実装部分だけではなく、設計そのものから考えていく必要があります。

そういった意味で、OWASP Top10はWebアプリの設計に取り掛かる前に知っておくべき知識だと感じています。

ぜひ一緒に、OWASP Top10を通じてセキュリティの基本を学んでいきましょう♪

Owasp Top10について早速見ていきたい方は、2つ目の記事へどうぞ。

Webアプリ開発者のためのセキュリティ入門：OWASP Top 10 2025「Broken Access Control（アクセス制御の不備）」

OWASP Top 10 を通じて、Webアプリケーションのセキュリティを学んでいきましょう。 OWASP　Top10はWebアプリの代表的なセキュリティリスクをまとめた「10大リスク」リスト。 世界中の開発者・企業・教育機関が、セキュ...

biz.addisteria.com

2025.10.20

なお、「Webアプリのセキュリティを学びなおそう！」と思い、「体系的に学ぶ 安全なWebアプリケーションの作り方」、通称・徳丸本を購入しました。

注意点も含めて、レビュー記事書いています。徳丸本が気になっていたら、ぜひ読んでくださいね。

徳丸本（安全なWebアプリケーションの作り方）を読んでみた。２つのご留意点と感想

Webアプリのセキュリティを学ぶ上で、「安全なWebアプリケーションの作り方」（いわゆる徳丸本）を買いました。 （クリックするとAmazonページが開きます） ↓↓↓ 少し古いこともあり躊躇しましたが、やはりバイブルはおさえて...

biz.addisteria.com

2025.11.13