【セキスペ】CWEについて調べてみた(Common Weakness Enumeration)

どすこいおむすび君

Common Weakness Enumerationはソフトウェアの脆弱性についての基準です。
実際にセキュリティベンダーで活用されている、実績のある基準になります。
勉強のため、実際にサイトを訪れたりしてみましたのでその内容をまとめました。

CWEのメリット

CWEを用いることで以下の利点があります。

  • ソフトウェアの脆弱性に関しての共通認識を持てる

  • セキュリティ評価の尺度として使える

  • 脆弱性に対するアプローチの基準として使える

CWEの構造

CWEでは多種多様な脆弱性の種類を脆弱性タイプとして分類し、それぞれにCWE識別子(CWE-ID)を付与して階層構造で体系化しています。上位層に近いほど抽象的な脆弱性タイプを表し、下位層にいくほど具体的な脆弱性タイプや個々の脆弱性を表しています。

https://www.ipa.go.jp/security/vuln/scap/cwe.html

脆弱性タイプには4つあります。

  1. ビュー
    ある観点からいくつかの脆弱性タイプを選択して集めたモノ。

  2. カテゴリー
    共通の特性を持つ脆弱性タイプをグループ化したもの。

  3. 脆弱性
    個々の脆弱性を表したもの。

  4. 複合要因
    複数の要因が複合した脆弱性を表したもの。

「…だから何?」って感じです。大体そうなんですが業界の規定をするような抽象的で専門的な概念って分かりにくいんですよね……。
イメージが湧くように、実際にCWEのサイトへ行き、脆弱性タイプとやらがどのように利用されているのか見てみました。

CWE VIEWで見てみました。※以下はHadrware Designのページ

CのアイコンがCategoriesを表しているみたいです。なるほど、このように使われるわけですね。

カテゴリーを展開してみると色々入っている。

つまり、Categoriesやその下に入っているものを総称して「脆弱性タイプ」と呼んでいて、これらが階層構造を形成すると、まとめ方法などで呼び方が4つある。ということですね。

日本語でCWEを調べることが出来るサイト

CEWの本家は英語なので読み込むのは一苦労です。ですが、以下のサイトを使えば、内容を日本語で読むことが出来ます。
また、このサイト内で診断ツールが提供されており、これをクライアントPCにインストールすることで脆弱性情報をリストで確認することが出来ます。
メールも送ることが出来るみたいですので、運用の仕方としては「会社で使ってるソフトを全部インストールするサンドボックスPCを用意して、毎日ツールを自動実行し、脆弱性情報を受け取る」みたいな使い方が良さそうです。

以上です。

いいなと思ったら応援しよう!