2021年に改訂されたOWASP Top 10:2021の、Top6は「Vulnerable and Outdated Components」です。
日本語では、「脆弱で古くなったコンポーネント」「脆弱で古いコンポーネント」と訳されています。

前回の改定時の2017年度版では、Top9でしたがメンテナンスがされていない古いコンポーネントを使用して作成されたアプリケーションなどが、更新されずに使用されているケースが増加していることなどの理由で、順位が上がったと考えられます。

脆弱で古くなったコンポーネントとは

Webアプリケーションの大半は、オープンソースやサードパーティのコンポーネントを使用して構築されています。そのため、Webアプリケーションを構築するためのコンポーネントが脆弱であれば、Webアプリケーションも脆弱であることになります。

使用しているコンポーネントのバージョンを把握していない場合、サポートされていない買ったり脆弱であったりする場合、攻撃の対象となり、データの流出や改ざんの可能性が高まります。

対策

使用しているコンポーネントが安全であることを把握するため、すべてのソフトウェア・コンポーネントとそのバージョンについて、常に完全で最新のリストを持っている必要があります。

そして、既知の脆弱性を調査したり、アプリケーションを積極的にテストすることで各コンポーネントが脆弱でないかを確認します。

また、古くなったソフトウェアを更新し、既知の脆弱性にパッチを適用する必要があります。

「脆弱で古くなったコンポーネント」の問題は、技術的な問題ではなく、むしろ組織の意思決定プロセスの問題であることが多いとされています。この解決策としては、上記の手順を適切に繰り返し行えるようなプロセスを確立することが大切です。