情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ 問14: JVN（Japan Vulnerability Notes）などの脆弱性対策ポータルサイトで採用されているCWE（Common Weakness Enumera

問題本文

JVN（Japan Vulnerability Notes）などの脆弱性対策ポータルサイトで採用されているCWE（Common Weakness Enumeration）はどれか。

選択肢

• ア.基本評価基準，現状評価基準，環境評価基準の三つの基準でIT製品の脆弱性を評価する手法
• イ.製品を識別するためのプラットフォーム名の一覧
• ウ.セキュリティに関連する設定項目を識別するための識別子
• エ.ソフトウェアの脆弱性の種類の一覧

正解

エ. ソフトウェアの脆弱性の種類の一覧

解説

CWEはソフトウェアの脆弱性の『種類』を体系的に分類・識別する共通の一覧で、バッファオーバーフローやSQLインジェクションなど弱点のタイプを番号で表す。エが正解。実務では脆弱性報告や診断結果でCWE番号を付与し、組織横断で弱点傾向を分析・優先対応する基盤となる。

選択肢ごとの解説

• ア.三つの基準で深刻度を評価する手法はCVSSの説明で、弱点の種類を分類するCWEとは異なり誤り。
• イ.製品のプラットフォーム名一覧はCPEの説明で、脆弱性の種類を扱うCWEではないため誤り。
• ウ.セキュリティ設定項目の識別子はCCE等の説明で、弱点の分類であるCWEとは異なり誤り。
• エ.ソフトウェアの脆弱性の種類を列挙した一覧というCWEの定義どおりで正しい。