用語集 › 🔒 セキュリティ › CWE(共通脆弱性タイプ一覧)
【しーだぶりゅーいー】

CWE(共通脆弱性タイプ一覧) とは?

💡 脆弱性の「種類カタログ」
📌 このページのポイント
CWE 脆弱性タイプの分類ツリー CWE(脆弱性分類) 入力検証の不備 認証・認可の不備 リソース管理の不備 CWE-79 XSS CWE-89 SQLインジェクション CWE-22 パストラバーサル CWE-287 不適切な認証 CWE-862 認可の欠如 CWE-120 バッファオーバフロー CWE-400 リソース枯渇 CVE-2024-xxxxx CWE-79(タイプ分類) 個別の脆弱性 → タイプで分類 脆弱性の「種類」を体系的に整理した辞書
CWE分類ツリーのイメージ
ひよこ ひよこ

CVEとの違いがわからない…

ペンギン先生 ペンギン先生

CVEは「Log4j 2.xのJNDIインジェクション(CVE-2021-44228)」のような個別の脆弱性に番号をつける。CWEは「インジェクション(CWE-74)」のような脆弱性の種類を分類する。CVEが「事件番号」、CWEが「事件の手口の分類」だね

ひよこ ひよこ

CWE Top 25って何?

ペンギン先生 ペンギン先生

毎年発表される「最も危険な脆弱性タイプ25」のリストだよ。2024年版の上位はCWE-79(クロスサイトスクリプティング)、CWE-787(境界外書き込み)、CWE-89(SQLインジェクション)など。開発者はこのリストの脆弱性を自分のコードに作り込まないよう注意すべきだね

ひよこ ひよこ

開発者はどう活用すべき?

ペンギン先生 ペンギン先生

コードレビューセキュリティテストのチェックリストとして使えるよ。「CWE-89(SQLインジェクション)対策のプリペアドステートメントは使っているか?」「CWE-79(XSS)対策の出力エスケープは実装しているか?」のように、CWE番号で具体的にチェックできるんだ

ひよこ ひよこ

OWASPとの関係は?

ペンギン先生 ペンギン先生

OWASP Top 10(Webアプリの脆弱性ランキング)の各項目はCWEにマッピングされているよ。OWASPがWebアプリに特化した「脅威のトップ10」なら、CWEはより広範な「脆弱性の辞書」。両方を理解するとセキュアな開発の知識が体系的に身につくよ

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「CWE」って出てきたら「脆弱性の種類を分類したカタログ」と思えればだいたいOK!
📖 おまけ:英語の意味
「Common Weakness Enumeration」 = 共通脆弱性タイプ一覧
💬 CVEが「犯罪事件の個別番号」なら、CWEは「犯罪の種類(窃盗、詐欺…)」の分類だよ
🔗 あわせて読みたい
← 用語集にもどる