共通脆弱性タイプ一覧

共通弱点タイプ一覧 (CWE)

共通弱点タイプ一覧（CWE）は、ソフトウェアやハードウェアにおける脆弱性や潜在的な欠陥を体系的に分類するシステムです。このリストは、特定の弱点を理解し、識別し、それに対する対策を講じることを可能にするための自動化ツールの開発を目的としたプロジェクトによって維持されています。CWEは、米国国土安全保障省（DHS）のサイバーセキュリティ・インフラセキュリティ庁（CISA）によって支援されており、かつマイター・コーポレーションにより運営されています。

CWEの初版は2006年に発表され、その後も進化を続けており、最新の標準バージョン（4.15）は2024年7月にリリースされる予定です。このシステムには、600以上の異なるカテゴリが含まれており、例えば、バッファオーバーフロー、パスやディレクトリのツリートラバーサルエラー、競合状態、クロスサイトスクリプティング、ハードコードされたパスワード、及び安全でない乱数生成といった脆弱性が盛り込まれています。

CWEカテゴリの具体例

CWEの中には、様々なカテゴリーが設けられており、それぞれが特定の脆弱性を指し示しています。例えば、CWEカテゴリ121は、スタックベースのバッファオーバーフローに関連する脆弱性に特化しています。これにより開発者やセキュリティ専門家は、特定のリスクに対して適切な対策を講じるための情報を得ることができます。

CWE互換性プログラム

CWE互換性プログラムは、特定の製品やサービスがCWEに適合していることを公式に認定する制度です。このプログラムは、組織がセキュリティに対する適切なソフトウェアツールの選択を支援し、脆弱性の潜在的な影響についての理解を深めることを目指しています。CWE互換の目標を達成するためには、製品やサービスは、定められた6つの基準のうち最低4つを満たす必要があります。

2019年9月の時点で、CWE互換性を取得した製品やサービスを保有している組織は56社に達しており、これにより市場におけるソフトウェアセキュリティ強化が進んでいます。

研究や批判の動向

CWEの体系について、一部の研究者は、その曖昧さを克服・軽減する可能性について議論しています。また、2024年4月16日をもってCWE互換性プログラムが終了することが発表されており、今後の展開に注目が集まっています。

関連項目

CWEに関連する情報として、共通脆弱性識別子（CVE）、共通脆弱性評価システム（CVSS）、共通攻撃パターン一覧（CAPEC）、そして欧州連合脆弱性データベースなどがあります。これらのリソースもセキュリティの強化に寄与するものです。

もう一度検索