Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話
Search
Riotaro OKADA
PRO
February 07, 2026
Technology
2
120
OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話
OWASP Top 10:2025 リリースと少しの日本語化にまつわる裏話
release: 2026/2/7
Riotaro OKADA
PRO
February 07, 2026
Tweet
Share
More Decks by Riotaro OKADA
See All by Riotaro OKADA
Compliance Tsunami
okdt
PRO
0
32
AIドリブンのソフトウェア開発 - うまいやり方とまずいやり方
okdt
PRO
9
1.6k
開発運用のセキュリティ実践を”デザイン”する
okdt
PRO
0
110
品質管理とセキュリティの新基準: ブラックボックス化から脱却するソフトウェア透明性
okdt
PRO
0
87
Perfect Enterprise Security Practice?
okdt
PRO
1
360
Vulnerabilities and the Future
okdt
PRO
1
310
How Application Security Will Change with the Rise of AI
okdt
PRO
1
120
秘伝:脆弱性診断をうまく活用してセキュリティを確保するには
okdt
PRO
4
950
脆弱性とこれからの話 - ソフトウェアサプライチェインリスク
okdt
PRO
6
1.7k
Other Decks in Technology
See All in Technology
MCPでつなぐElasticsearchとLLM - 深夜の障害対応を楽にしたい / Bridging Elasticsearch and LLMs with MCP
sashimimochi
0
140
あたらしい上流工程の形。 0日導入からはじめるAI駆動PM
kumaiu
5
760
AzureでのIaC - Bicep? Terraform? それ早く言ってよ会議
torumakabe
1
390
Webhook best practices for rock solid and resilient deployments
glaforge
1
270
生成AI時代にこそ求められるSRE / SRE for Gen AI era
ymotongpoo
5
2.7k
2026年はチャンキングを極める!
shibuiwilliam
9
1.9k
学生・新卒・ジュニアから目指すSRE
hiroyaonoe
2
560
仕様書駆動AI開発の実践: Issue→Skill→PRテンプレで 再現性を作る
knishioka
2
590
CDK対応したAWS DevOps Agentを試そう_20260201
masakiokuda
1
200
Data Hubグループ 紹介資料
sansan33
PRO
0
2.7k
AIと新時代を切り拓く。これからのSREとメルカリIBISの挑戦
0gm
0
780
月間数億レコードのアクセスログ基盤を無停止・低コストでAWS移行せよ!アプリケーションエンジニアのSREチャレンジ💪
miyamu
0
810
Featured
See All Featured
Visualization
eitanlees
150
17k
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
130
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
240
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Google's AI Overviews - The New Search
badams
0
900
Marketing to machines
jonoalderson
1
4.6k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
72
Leo the Paperboy
mayatellez
4
1.4k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
97
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.8k
Become a Pro
speakerdeck
PRO
31
5.8k
BBQ
matthewcrist
89
10k
Transcript
10 岡田 良太郎
[email protected]
OWASP Japan Chapter Leader アスタリスク・リサーチ
2026.02.07 OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話 + + + + + + + + JAPAN CHAP TER
"サイバーセキュリティ&プロダクトセキュリティ を通じて、より安全なデジタル社会の構築に貢献しています。" ABOUT THE SPEAKER Profile & Activities
OWASP OWASP Japan Chapter Leader OWASP Foundation Lifetime Member Hardening Project サイバーセキュリティ堅牢化競技とカ ンファレンス 社会貢献 BBT大学サイバーセキュリティ実践講座 兵庫県警サイバーセキュリティ対策アド バイザ(2025就任) 実践的サイバー防御演習CYDER実行委員 IPA十大脅威選考委員 YouTube 検索「シフトレフト戦略集」 OWASP Japanチャンネルもあるよ! Speaker Profile 岡田 良太郎 RIOTARO OKADA CURRENT POSITION 株式会社アスタリスク・リサーチ 代表取締役 #CyberSecurity #ProductSecurity
+ + + 今日の3つの話 TOPICS OF THE DAY 3 🔟
OWASP Top 10:2025 — 今どき、どこが見どころなの? 🎬 翻訳の裏話 — 時間が許す範囲でよもやま話 with AI時代のスタディ 💻 Vibe Coding時代、セキュア開発を学ぶ必要あるの?
25 OWASP TOP 10:2025 COMMUNITY TALK HOOK
12月25日、何してましたか? OWASP Top 10:2025 突然の正式リリース 🎁 突然、"RC(リリース候補)" が外れた。 誰も予想してなかった。 日本語翻訳プロジェクトが動き出す—— 「生成AIでドラフトしますかねー」 「ですねー」 25 DEC 2025 THE SURPRISE
OWASP Top 10:2025 一覧 2021年版からの変化と注目ポイント 2025 新カテゴリ 順位上昇 名称変更 #
カテゴリ名 2021からの変化・ポイント A01 アクセス制御の不備 不動の1位。SSRFを吸収 A02 セキュリティ設定の不備 UP #5 → #2 に大幅上昇 A03 ソフトウェアサプライチェーンの不備 🆕 サプライチェーンが独立カテゴリ化 A04 暗号化の不備 - A05 インジェクション - A06 安全性を欠いた設計 - A07 認証の不備 - A08 ソフトウェアまたはデータの完全性の不備 - A09 セキュリティログとアラートの不備 NAME Alerting追加(旧 Monitoring) A10 例外的な状況への不適切な対応 🆕 例外処理の不備がランクイン NEW NEW
注目① — サプライチェーンが独立カテゴリに A03: ソフトウェアサプライチェーンの不備 NEW 「脆弱なコンポーネント」→「サプライチェーン全体」へ ライブラリだけでなく、ビルド環境・CI/CD・配布基盤など、開発プロセ ス全体に対象が拡大。
背景・なぜ今? Log4Shell (2021): 世界的インパクト xz utils (2024): 信頼されたメンテナの脅威 npm/PyPI: 悪意あるパッケージの急増 発生頻度は低いが、影響は甚大 攻撃難易度は高いが、悪用時のビジネスインパクトは「最高」レベル。 OWASP Top 10:2025 リリースと少しの裏話
注目② — 「セキュリティ設定ミス」 の急上昇 A02: セキュリティ設定の不備 (#5 → #2)
現状 テスト対象アプリの 3.0% で検出 前回5位から今回2位へ、順位が大幅に上昇。 構成の複雑化 コンテナ・サーバーレス等、管理すべき対象が激増している。 クラウド設定の爆発的増加 AWS / Azure / GCP 等の設定不備が主要因に。 ! Misconfiguration OWASP Top 10:2025 リリースと少しの裏話
注目③ — 運用に関わる新・改訂カテゴリ RENAMED A09 セキュリティログとアラートの不備 ただの監視では不十分。 通知してこそ意味がある
A10 例外的な状況への不適切な対応 論理エラー / Fail-open コミュニティ関心度高い 上位選出 NEW 「運用時にシステムがどう振る舞うか」
実際に見てみてね 🖥️ 日本語版を見てみましょう https://github.com/OWASP/Top1…
翻訳の裏話 Ep.1 「自然に見えて、 実は省略されている」 Ep.2 「先人の知見を AIに託す」 Ep.3 「あかんあかん、 これコピペや」
Ep.4 「コミュニティが 動き出す」 D I R E C T E D B Y C O M M U N I T Y R U N N I N G T I M E : 5 M I N
OWASP TRANSLATION PROJECT BEHIND THE SCENES EPISODE 1 「自然に見えて、 実は省略されている」
01 一見、自然な日本語に見える ! しかし原文と突き合わせると情報が落ちている 長文が“翻訳”ではなく“要約”化されてしまう 技術的ニュアンスが丸め込まれる 読み手は気づきにくい(自然だから) THE PITFALL 流暢な日本語生成能力が、かえっ て仇となる。 翻訳の正確さよりも 「自然さ」が優先されてしまう
翻訳プロセスの進化 | 2021 2025 2021 Edition 2025
Edition Google翻訳 / DeepL 翻訳 Claude Code + CLAUDE.md 暗黙知(人の頭の中)+ Google Docs 方針 CLAUDE.mdに集約 Google Docs -> Github 管理 Git sparse checkout ブラウザ上で手作業 作業 分散作業+AI slack / コメント 共有 slack / GitHub スプシ+手動ハンドリング 品質 Issue/PR + Github Copilot 全面的に x コミュニティ参加 を活用 AI作業
EPISODE 02 CLAUDE.md = AIへ方針をつくって入れ込む仕組み 2017・2021年の翻訳方針知見の言語化してまず設定 コミュニティの集合知で愛をこめる
ある日のCLAUDE.md の中身(抜粋) プロジェクトの「頭脳」となるOWASP TOP 10 翻訳 と日本語編集方針書 Markdown
README.md owasp-top10-2025-ja 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 # OWASP翻訳ガイド — CLAUDE.md抜粋 ## 基本方針 「翻訳は言葉の置き換えではなく、情報の再設計」 ## 3つの約束 1. 正しい言葉を選ぶ Sensitive → 「機微な」?「機密の」?「保護すべき」? → 英英辞典でコアの意味を掴み、文脈で訳し分ける 2. 読みやすく、短く × 脆弱性暴露時技術的影響甚大 ◦ 脆弱性が露出した際の、技術面への影響は深刻です → 漢字をひらく。助詞を足す。冗長表現を削る。 3. 結論から書く 英語: 「AなのでBです」 / 日本語: 「Bです。理由はAだからです」 → 日本語のトップダウン構造に再設計 master* 0 1 Claude Code Active Ln 27, Col 1 UTF-8 Markdown CLAUDE.md
EPISODE 3 03 Claudeとの対話中に違和感。 ある原文のCWE リストが、 別カテゴリからのコピペ のまま残 っているのを発見 (A06->X01)
英語原文側のバグを特定 翻訳ミスではなく、原文そのもののバグ。 「これいいんだっけ?」 「あかんIssueや」 本家にIssue/PRを提供 翻訳プロジェクトが、原文の品質向上にも貢献 することは少なくない。AI利用でチェック網羅 性とスピードが上がった。 https://github.com/OWASP/Top10/issues/914 Wrong CWE list in X01:2025 (copied from A06) #914 okdt wants to merge 1 commit into master
OWASP TRANSLATION PROJECT COMMUNITY POWER EPISODE 4 「コミュニティが 動き出す」 04
イベント参加者からSlackに招待 → レビュワーが増加 自然さなど改善提案が次々と寄せられる 徳丸さん:"failure" を「欠陥」とするか「失敗」か THE DRIVING FORCE オープンであるこ との価値 リリースはゴールではなくスタート。 ソフトウェアはすべてそうありたい。 OSSは、リリースからが本番
AI時代にセキュリティを学ぶ意義? シチズンプログラマー時代の基礎教養 答え:あなたがプロンプトを出す側だから。 AIは指示されたことしか作れません。適切な指示が必須です。 指示すべきセキュリティ要件例 認証(MFA, パスワードポリシー) •
認可の設計(RBAC, アクセス制御) • セッション管理(タイムアウト, トークン) • エラー時の振る舞い(運用のための機能) • 指示できなければ、AIも正しく作れない。 「安全なコード」の責任は、人間にあります。 OWASP Top 10:2025 Release Note - Community Talk
UNDERSTANDING THE PURPOSE OWASP Top 10 の正しい位置づけ 標準ではない NOT
A STANDARD 啓発資料 AWARENESS DOCUMENT
TAKE THE NEXT STEP BEYOND TOP 10 その先へ — OWASPのリソースを活用しよう
啓発資料としてのTop 10から一歩進んで、具体的な実装や組織的な取り組みへ。 OWASP ASVS APPLICATION SECURITY VERIFICATION STANDARD 技術的な基準が欲しい場合に最適。 開発、テスト、調達における検証可能な要件 リスト。レベル分けされた詳細なセキュリテ ィ基準。 View Standard OWASP SAMM SOFTWARE ASSURANCE MATURITY MODEL 組織的な対策が必要な場合に。 組織のソフトウェアセキュリティ成熟度モデ ル。ガバナンス、設計、実装、検証、運用の5 機能で評価。 Check Model なぜ組織が必要? WHY ORGANIZATION MATTERS 技術対策だけでは、現場の技術者が報われな い。 個人の頑張りではなく、組織として継続的に取 り組むための「仕組み」が必要不可欠。 Structural Approach
1. OWASP Top 10:2025 をすみずみまで読もう サプライチェーン/設定ミス/例外処理=今のリスクが凝縮。日本語版はGithub owasp-jaへ! 2.
AI × 人 × コミュニティ で品質を上げる 方針を先に与えることが大事。 CLAUDE.mdに、AIで一貫チェック+コミュニティの目で原文バグまで発見。人が自然さと心を入れる 3. プロンプトを出す側こそ、セキュリティを知ろう バイブコーディング時代、指示の内容と質が安全性を決める。基礎教養。 まとめ - Key Takeaways OWASP Top 10:2025 リリースと少しの裏話
Let'sOWASP! SECURITY FOR EVERYONE 🚀 YouTube シフトレフト戦略集 ダイジェスト版あり
Full Version フル版はメールで 限定公開でお届け Repository OWASP Top 10 日本語版 github.com/OWASP/Top10/tree/master/2025/docs/ja
okdt
sashimimochi
kumaiu
torumakabe
glaforge
ymotongpoo
shibuiwilliam
hiroyaonoe
knishioka
masakiokuda
sansan33
0gm
miyamu
eitanlees
gurzu
skipperchong
morganepeng
badams
jonoalderson
marketingsoph
mayatellez
cargoodrich
reverentgeek
speakerdeck
matthewcrist
![10 岡田 良太郎 [email protected] OWASP Japan Chapter Leader アスタリスク・リサーチ](https://files.speakerdeck.com/presentations/fd0d1a26693e41f394be9f6a551cef25/slide_0.jpg){kind=link}
