戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

情報処理安全確保支援士 2014年 春期 午前214


問題文

JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCWE(Common Weakness Enumeration)はどれか。

選択肢

基本評価基準、現状評価基準、環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
製品を識別するためのプラットフォーム名の一覧
セキュリティに関連する設定項目を識別するための識別子
ソフトウェアの脆弱性の種類の一覧(正解)

JVNなどで採用されているCWE(Common Weakness Enumeration)はどれか【午前2 解説】

正解の理由

CWE(Common Weakness Enumeration)は、ソフトウェアの欠陥(弱点)や脆弱性の「種類」を体系的に記述したカタログです。JVNや他の脆弱性情報ポータルは、特定の脆弱性(CVE)を報告する際に、その根本原因や分類を示すためにCWE識別子を参照します。したがって「ソフトウェアの脆弱性の種類の一覧」であるエが正解です。

解法ステップ

  1. 問題文の「CWEが採用されている」と「脆弱性対策ポータル(JVN)」の関係を把握する。
  2. 各選択肢が示す内容を簡潔に分類する(基準・プラットフォーム名・設定項目・脆弱性の種類)。
  3. CWEの定義を思い出す:Common Weakness Enumeration=弱点(weakness)の列挙→脆弱性の種類。
  4. 定義と選択肢を照合して最も一致するもの(エ)を選ぶ。

選択肢別の誤答解説

  • ア: 「基本評価基準、現状評価基準、環境評価基準…」は評価手法や基準の記述であり、CWEの定義とは異なります。CWEは評価手法ではなく「弱点の分類」です。
  • イ: 「製品を識別するためのプラットフォーム名の一覧」は誤り。製品やプラットフォームを識別するのは別のカタログや資産管理の領域です。
  • ウ: 「セキュリティに関連する設定項目を識別するための識別子」は、セキュリティ設定のチェックリスト(例:ベンチマーク)に近い記述であり、CWEが対象とする「コードや設計の弱点」とは異なります。
  • エ: ソフトウェアの脆弱性の種類の一覧 はCWEの定義に一致するため正解です。

よくある誤解

  1. CWEをCVEと混同する:CVEは「個別の脆弱性事例」を識別するIDで、CWEはその脆弱性の「型(分類)」です。用途が異なります。
  2. CWEを設定項目の一覧と誤認:セキュリティ設定のチェックリスト(例えばベンチマークやハードニングガイド)とは別物であり、CWEはコードや設計上の弱点を示します。
  3. プラットフォーム名の一覧と思う:CWEは「脆弱性の種類」なのでプラットフォームや製品名の列挙ではありません。

補足コラム

  • CWEはMITREが管理し、番号(例:CWE-79 はクロスサイトスクリプティング)で弱点を参照します。JVNなどはCVE(個別脆弱性)にCWEを紐づけることで、同種の弱点を横断的に把握・対策できます。
  • 実務ではPRA(脅威モデリング)や静的解析ツール、セキュリティテスト結果にCWE識別子を付与して、優先度付けや対策の再利用性を高めます。

FAQ

Q: CWEとCVEはどちらが先に使うべきですか?
A: 役割が異なるため併用します。まずCVEで個別の脆弱性事例を特定し、CWEでその根本的な弱点の種類を把握して再発防止策を設計します。
Q: CWEは脆弱性の重大度(深刻度)を示しますか?
A: いいえ。CWEは「弱点の分類」であり、深刻度はCVSSなどのスコアリングで評価します。
Q: CWE番号を知るメリットは何ですか?
A: 類似の弱点に対する共通対策を立てやすくなり、教育やコードレビュー、静的解析ルールの整備に役立ちます。

関連キーワード: CWE、脆弱性分類、JVN、CVE、脆弱性管理
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

情報処理安全確保支援士
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について