情報処理安全確保支援士 2014年 春期 午前2 問14
問題文
JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。
選択肢
ア:基本評価基準、現状評価基準、環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
イ:製品を識別するためのプラットフォーム名の一覧
ウ:セキュリティに関連する設定項目を識別するための識別子
エ:ソフトウェアの脆弱性の種類の一覧(正解)
JVNなどで採用されているCWE(Common Weakness Enumeration)はどれか【午前2 解説】
正解の理由
CWE(Common Weakness Enumeration)は、ソフトウェアの欠陥(弱点)や脆弱性の「種類」を体系的に記述したカタログです。JVNや他の脆弱性情報ポータルは、特定の脆弱性(CVE)を報告する際に、その根本原因や分類を示すためにCWE識別子を参照します。したがって「ソフトウェアの脆弱性の種類の一覧」であるエが正解です。
解法ステップ
- 問題文の「CWEが採用されている」と「脆弱性対策ポータル(JVN)」の関係を把握する。
- 各選択肢が示す内容を簡潔に分類する(基準・プラットフォーム名・設定項目・脆弱性の種類)。
- CWEの定義を思い出す:Common Weakness Enumeration=弱点(weakness)の列挙→脆弱性の種類。
- 定義と選択肢を照合して最も一致するもの(エ)を選ぶ。
選択肢別の誤答解説
- ア: 「基本評価基準、現状評価基準、環境評価基準…」は評価手法や基準の記述であり、CWEの定義とは異なります。CWEは評価手法ではなく「弱点の分類」です。
- イ: 「製品を識別するためのプラットフォーム名の一覧」は誤り。製品やプラットフォームを識別するのは別のカタログや資産管理の領域です。
- ウ: 「セキュリティに関連する設定項目を識別するための識別子」は、セキュリティ設定のチェックリスト(例:ベンチマーク)に近い記述であり、CWEが対象とする「コードや設計の弱点」とは異なります。
- エ: ソフトウェアの脆弱性の種類の一覧 はCWEの定義に一致するため正解です。
よくある誤解
- CWEをCVEと混同する:CVEは「個別の脆弱性事例」を識別するIDで、CWEはその脆弱性の「型(分類)」です。用途が異なります。
- CWEを設定項目の一覧と誤認:セキュリティ設定のチェックリスト(例えばベンチマークやハードニングガイド)とは別物であり、CWEはコードや設計上の弱点を示します。
- プラットフォーム名の一覧と思う:CWEは「脆弱性の種類」なのでプラットフォームや製品名の列挙ではありません。
補足コラム
- CWEはMITREが管理し、番号(例:CWE-79 はクロスサイトスクリプティング)で弱点を参照します。JVNなどはCVE(個別脆弱性)にCWEを紐づけることで、同種の弱点を横断的に把握・対策できます。
- 実務ではPRA(脅威モデリング)や静的解析ツール、セキュリティテスト結果にCWE識別子を付与して、優先度付けや対策の再利用性を高めます。
FAQ
Q: CWEとCVEはどちらが先に使うべきですか?
A: 役割が異なるため併用します。まずCVEで個別の脆弱性事例を特定し、CWEでその根本的な弱点の種類を把握して再発防止策を設計します。
A: 役割が異なるため併用します。まずCVEで個別の脆弱性事例を特定し、CWEでその根本的な弱点の種類を把握して再発防止策を設計します。
Q: CWEは脆弱性の重大度(深刻度)を示しますか?
A: いいえ。CWEは「弱点の分類」であり、深刻度はCVSSなどのスコアリングで評価します。
A: いいえ。CWEは「弱点の分類」であり、深刻度はCVSSなどのスコアリングで評価します。
Q: CWE番号を知るメリットは何ですか?
A: 類似の弱点に対する共通対策を立てやすくなり、教育やコードレビュー、静的解析ルールの整備に役立ちます。
A: 類似の弱点に対する共通対策を立てやすくなり、教育やコードレビュー、静的解析ルールの整備に役立ちます。
関連キーワード: CWE、脆弱性分類、JVN、CVE、脆弱性管理

\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

