10  岡田 良太郎 [email protected] OWASP Japan Chapter Leader　 アスタリスク・リサーチ  2026.02.07 OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話 + + + + + + + + JAPAN CHAP TER 

"サイバーセキュリティ＆プロダクトセキュリティ を通じて、より安全なデジタル社会の構築に貢献しています。"  ABOUT THE SPEAKER Profile & Activities  OWASP  OWASP Japan Chapter Leader  OWASP Foundation Lifetime Member  Hardening Project  サイバーセキュリティ堅牢化競技とカ ンファレンス  社会貢献 BBT大学サイバーセキュリティ実践講座 兵庫県警サイバーセキュリティ対策アド バイザ(2025就任) 実践的サイバー防御演習CYDER実行委員 IPA十大脅威選考委員  YouTube  検索「シフトレフト戦略集」 　OWASP Japanチャンネルもあるよ！ Speaker Profile 岡田 良太郎 RIOTARO OKADA CURRENT POSITION 株式会社アスタリスク・リサーチ 代表取締役 #CyberSecurity #ProductSecurity 

+ + + 今日の3つの話 TOPICS OF THE DAY 3 🔟 OWASP Top 10:2025 — 今どき、どこが見どころなの？ 🎬 翻訳の裏話 — 時間が許す範囲でよもやま話 with AI時代のスタディ 💻 Vibe Coding時代、セキュア開発を学ぶ必要あるの？ 

25    OWASP TOP 10:2025 COMMUNITY TALK HOOK 12月25日、何してましたか？ OWASP Top 10:2025 突然の正式リリース 🎁 突然、"RC(リリース候補)" が外れた。 誰も予想してなかった。  日本語翻訳プロジェクトが動き出す——　 　 「生成AIでドラフトしますかねー」 「ですねー」 25 DEC 2025 THE SURPRISE 

OWASP Top 10:2025 一覧 2021年版からの変化と注目ポイント 2025 新カテゴリ 順位上昇 名称変更 # カテゴリ名 2021からの変化・ポイント A01 アクセス制御の不備 不動の1位。SSRFを吸収 A02 セキュリティ設定の不備 UP #5 → #2 に大幅上昇 A03 ソフトウェアサプライチェーンの不備 🆕 サプライチェーンが独立カテゴリ化 A04 暗号化の不備 - A05 インジェクション - A06 安全性を欠いた設計 - A07 認証の不備 - A08 ソフトウェアまたはデータの完全性の不備 - A09 セキュリティログとアラートの不備 NAME Alerting追加（旧 Monitoring） A10 例外的な状況への不適切な対応 🆕 例外処理の不備がランクイン NEW NEW 

注目① — サプライチェーンが独立カテゴリに A03: ソフトウェアサプライチェーンの不備 NEW  「脆弱なコンポーネント」→「サプライチェーン全体」へ ライブラリだけでなく、ビルド環境・CI/CD・配布基盤など、開発プロセ ス全体に対象が拡大。  背景・なぜ今？ Log4Shell (2021): 世界的インパクト xz utils (2024): 信頼されたメンテナの脅威 npm/PyPI: 悪意あるパッケージの急増  発生頻度は低いが、影響は甚大 攻撃難易度は高いが、悪用時のビジネスインパクトは「最高」レベル。 OWASP Top 10:2025 リリースと少しの裏話 

注目② — 「セキュリティ設定ミス」 の急上昇 A02: セキュリティ設定の不備 （#5 → #2）  現状 テスト対象アプリの 3.0% で検出 前回5位から今回2位へ、順位が大幅に上昇。  構成の複雑化 コンテナ・サーバーレス等、管理すべき対象が激増している。  クラウド設定の爆発的増加 AWS / Azure / GCP 等の設定不備が主要因に。 !    Misconfiguration OWASP Top 10:2025 リリースと少しの裏話 

注目③ — 運用に関わる新・改訂カテゴリ   RENAMED A09 セキュリティログとアラートの不備 ただの監視では不十分。 通知してこそ意味がある   A10 例外的な状況への不適切な対応  論理エラー / Fail-open  コミュニティ関心度高い 上位選出 NEW   「運用時にシステムがどう振る舞うか」 

 実際に見てみてね 🖥️ 日本語版を見てみましょう  https://github.com/OWASP/Top1… 

翻訳の裏話 Ep.1 「自然に見えて、 実は省略されている」 Ep.2 「先人の知見を AIに託す」 Ep.3 「あかんあかん、 これコピペや」 Ep.4 「コミュニティが 動き出す」  D I R E C T E D B Y C O M M U N I T Y R U N N I N G T I M E : 5 M I N 

OWASP TRANSLATION PROJECT BEHIND THE SCENES EPISODE 1 「自然に見えて、 実は省略されている」 01  一見、自然な日本語に見える ! しかし原文と突き合わせると情報が落ちている  長文が“翻訳”ではなく“要約”化されてしまう  技術的ニュアンスが丸め込まれる  読み手は気づきにくい（自然だから） THE PITFALL 流暢な日本語生成能力が、かえっ て仇となる。 翻訳の正確さよりも 「自然さ」が優先されてしまう   

翻訳プロセスの進化 | 2021  2025  2021 Edition  2025 Edition       Google翻訳 / DeepL 翻訳 Claude Code + CLAUDE.md  暗黙知（人の頭の中）+ Google Docs 方針 CLAUDE.mdに集約  Google Docs -> Github 管理 Git sparse checkout  ブラウザ上で手作業 作業 分散作業+AI  slack / コメント 共有 slack / GitHub  スプシ+手動ハンドリング 品質 Issue/PR + Github Copilot   全面的に x コミュニティ参加 を活用 AI作業 

EPISODE 02  CLAUDE.md = AIへ方針をつくって入れ込む仕組み  2017・2021年の翻訳方針知見の言語化してまず設定  コミュニティの集合知で愛をこめる 

 ある日のCLAUDE.md の中身（抜粋） プロジェクトの「頭脳」となるOWASP TOP 10 翻訳 と日本語編集方針書  Markdown README.md owasp-top10-2025-ja 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 # OWASP翻訳ガイド — CLAUDE.md抜粋 ## 基本方針 「翻訳は言葉の置き換えではなく、情報の再設計」 ## 3つの約束 1. 正しい言葉を選ぶ Sensitive → 「機微な」？「機密の」？「保護すべき」？ → 英英辞典でコアの意味を掴み、文脈で訳し分ける 2. 読みやすく、短く × 脆弱性暴露時技術的影響甚大 ○ 脆弱性が露出した際の、技術面への影響は深刻です → 漢字をひらく。助詞を足す。冗長表現を削る。 3. 結論から書く 英語: 「AなのでBです」 / 日本語: 「Bです。理由はAだからです」 → 日本語のトップダウン構造に再設計  master*  0  1  Claude Code Active Ln 27, Col 1 UTF-8 Markdown   CLAUDE.md  

EPISODE 3 03 Claudeとの対話中に違和感。 ある原文のCWE リストが、 別カテゴリからのコピペ のまま残 っているのを発見 (A06->X01)  英語原文側のバグを特定 翻訳ミスではなく、原文そのもののバグ。 「これいいんだっけ？」 「あかんIssueや」  本家にIssue/PRを提供 翻訳プロジェクトが、原文の品質向上にも貢献 することは少なくない。AI利用でチェック網羅 性とスピードが上がった。  https://github.com/OWASP/Top10/issues/914  Wrong CWE list in X01:2025 (copied from A06) #914 okdt wants to merge 1 commit into master 

OWASP TRANSLATION PROJECT COMMUNITY POWER EPISODE 4 「コミュニティが 動き出す」 04  イベント参加者からSlackに招待 → レビュワーが増加  自然さなど改善提案が次々と寄せられる  徳丸さん："failure" を「欠陥」とするか「失敗」か THE DRIVING FORCE オープンであるこ との価値 リリースはゴールではなくスタート。 ソフトウェアはすべてそうありたい。   OSSは、リリースからが本番 

AI時代にセキュリティを学ぶ意義？ シチズンプログラマー時代の基礎教養  答え：あなたがプロンプトを出す側だから。 AIは指示されたことしか作れません。適切な指示が必須です。  指示すべきセキュリティ要件例 認証（MFA, パスワードポリシー） • 認可の設計（RBAC, アクセス制御） • セッション管理（タイムアウト, トークン） • エラー時の振る舞い（運用のための機能） • 指示できなければ、AIも正しく作れない。 「安全なコード」の責任は、人間にあります。 OWASP Top 10:2025 Release Note - Community Talk    

UNDERSTANDING THE PURPOSE OWASP Top 10 の正しい位置づけ  標準ではない NOT A STANDARD  啓発資料 AWARENESS DOCUMENT  

TAKE THE NEXT STEP BEYOND TOP 10 その先へ — OWASPのリソースを活用しよう 啓発資料としてのTop 10から一歩進んで、具体的な実装や組織的な取り組みへ。  OWASP ASVS APPLICATION SECURITY VERIFICATION STANDARD 技術的な基準が欲しい場合に最適。 開発、テスト、調達における検証可能な要件 リスト。レベル分けされた詳細なセキュリテ ィ基準。 View Standard   OWASP SAMM SOFTWARE ASSURANCE MATURITY MODEL 組織的な対策が必要な場合に。 組織のソフトウェアセキュリティ成熟度モデ ル。ガバナンス、設計、実装、検証、運用の5 機能で評価。 Check Model   なぜ組織が必要？ WHY ORGANIZATION MATTERS 技術対策だけでは、現場の技術者が報われな い。 個人の頑張りではなく、組織として継続的に取 り組むための「仕組み」が必要不可欠。 Structural Approach  

 1. OWASP Top 10:2025 をすみずみまで読もう サプライチェーン／設定ミス／例外処理＝今のリスクが凝縮。日本語版はGithub owasp-jaへ！  2. AI × 人 × コミュニティ で品質を上げる 方針を先に与えることが大事。 CLAUDE.mdに、AIで一貫チェック＋コミュニティの目で原文バグまで発見。人が自然さと心を入れる  3. プロンプトを出す側こそ、セキュリティを知ろう バイブコーディング時代、指示の内容と質が安全性を決める。基礎教養。 まとめ - Key Takeaways OWASP Top 10:2025 リリースと少しの裏話 

Let'sOWASP! SECURITY FOR EVERYONE 🚀  YouTube シフトレフト戦略集  ダイジェスト版あり  Full Version フル版はメールで  限定公開でお届け  Repository OWASP Top 10 日本語版  github.com/OWASP/Top10/tree/master/2025/docs/ja