2025年版「GMO Flatt Security Top 10」が示すWeb脆弱性の実態

GMO Flatt Security株式会社は、Webアプリケーションに関する脆弱性の独自調査「GMO Flatt Security Top 10 2025」を発表しました。これは、2023年から2024年に発見された脆弱性を元にしたランキングで、多くの企業にとって重要なセキュリティ情報となります。

調査の背景とは？

近年、Webアプリケーションやソフトウェアの脆弱性対策は非常に重要です。著名なソフトウェア企業であるGitLabは、2024年において275件の脆弱性報告に対し、100万ドル以上を報酬として支払っており、これはソフトウェアに潜む脆弱性の多さを示しています。このように、企業が持つアプリケーションの脆弱性がどれほど深刻であるか、しっかりと把握する必要があります。

一般に知られているOWASP Top 10は、世界中のセキュリティ関係者によって参考にされているレポートです。しかし、このグローバルなデータが日本の市場や特定の分野にそのまま当てはまるとは限りません。そのため、GMO Flatt Securityは日本のWebサービス内製開発企業に焦点を当てた独自調査を行い、セキュリティ関連の懸念を明示することを目指しました。

調査結果の概要

この調査では、1,000を超える脆弱性を分析し、次のような結果が得られました。

- 1位：認可制御不備（28%）

最も多く検出された脆弱性で、アプリケーションのアクセス管理が不十分であることを示します。

- 2位：認証の設計・実装不備（17%）

ユーザーの認証プロセスが不十分であり、攻撃のリスクが増加します。

- 3位：ロジックの脆弱性（認証・認可以外）（13%）

アプリケーションのビジネスロジックが脆弱であることを示します。

- その後に続く脆弱性としてXSS（9%）、セキュリティヘッダの設定不備（5%）などがあります。

これらの脆弱性は、特に企業の情報セキュリティに大きな影響を与えるため、注意が必要です。特に「ロジックの脆弱性」は、58%もの割合を占めており、非常に重要な課題です。

従来のセキュリティ対策の限界

一般的に、これらの「ロジックの脆弱性」を特定し対策を講じるには高度な技術とコストがかかります。これが多くの企業が十分な対策を実施できない理由です。特に、従来の自動脆弱性診断ツールでは、こうした問題を完全には特定できないことが多く、一層の注意が必要とされています。

提案される対策

Webサービスを提供する企業は、特に「認可制御不備」のような脆弱性が発生しないよう、設計段階からの見直しが重要です。また、セキュリティベンダー側では、AIなどの新技術を利用し、コストを抑えつつ多くの企業が高度な脆弱性対策にアクセス可能な仕組みを構築する必要があります。

GMO Flatt Securityは、自社のサービスを通じて、これらの課題を解決し、企業をサポートする方向でサービス開発を進めています。最終的には、企業のセキュリティを向上させ、ユーザーの安全を確保することが目標です。

まとめ

2025年版の「GMO Flatt Security Top 10」で示された調査結果は、企業向けの重要なセキュリティ情報となります。特に、ビジネスロジックに関わる脆弱性の存在を無視することはできず、企業がこれらに対応するための施策が求められます。この調査から得られた知見をもとに、今後のセキュリティ対策への意識を高めていく必要があります。