CWE (Common Weakness Enumeration)

セキュリティ事業部

CWE (Common Weakness Enumeration)

CWEは、共通脆弱性タイプ一覧とも呼ばれ、米国の非営利団体MITRE社[1]が中心となり、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準となることを目指して作成されました。

CWEは、ソフトウェアセキュリティにおける脆弱性の種類を示しており、以下のようなケースで活用できます。
・ソフトウェアセキュリティのアーキテクチャ、設計、コーディングにおいて脆弱性を共通の言語で表現する。
・ソフトウェアの脆弱性を扱うセキュリティのツールで標準の測定軸となる。
・脆弱性を特定、緩和、又は回避する際に、共通のベースラインを提供する。

脆弱性タイプは、ビュー(View)、カテゴリー(Category)、脆弱性(Weakness)、複合要因(Compound Element)の4種類に分類されます。現在、ビュー(View)として22個、カテゴリー(Category)として105個、脆弱性(Weakness)として638個、複合要因(Compound Element)として12個、合計777個の脆弱性タイプが分類され一覧となっています。

脆弱性タイプの一例を以下に示します。
CWE-22: パス・トラバーサル
CWE-78: OSコマンド・インジェクション
CWE-89: SQLインジェクション
CWE-119: バッファエラー
CWE-264: 認可・権限・アクセス制御

詳細は、IPA (Information technology Promotion Agency)のサイト[2]を参照できます。

[1] https://cwe.mitre.org
[2] https://www.ipa.go.jp/security/vuln/CWE.html