CWE|情報処理安全確保支援士試験 令和6年春期午前Ⅱ 問9

出典:令和6年春期 午前Ⅱ 問9 分野:セキュリティ / セキュリティ技術評価
JVNなどの脆弱性対策ポータルサイトで採用されているCWEはどれか。
  • ア:IT製品の脆弱性を評価する手法
  • イ:製品を識別するためのプラットフォーム名の一覧
  • ウ:セキュリティに関連する設定項目を識別するための識別子
  • エ:ソフトウェア及びハードウェアの脆弱性の種類の一覧
この問題を解く
解説

CWE(Common Weakness Enumeration)は、ソフトウェアなどに存在するセキュリティ上の弱点を分類するための共通基準です。日本語では「共通脆弱性タイプ一覧」と呼ばれます。

たとえば、「SQLインジェクション」や「クロスサイトスクリプティング」など、脆弱性の種類ごとにCWE-IDという識別番号を付けて整理しています。これにより、脆弱性の種類を共通の名前・番号で扱えるようになります。

CWEでは、脆弱性タイプを次の4種類に分類しています。

分類 内容
ビュー(View) 特定の観点から脆弱性をまとめたもの
カテゴリー(Category) 共通する特徴をもつ脆弱性のグループ
脆弱性(Weakness) 個別の弱点・脆弱性の種類
複合要因(Compound Element) 複数の要因が組み合わさったもの

つまりCWEは、脆弱性を「種類ごとに整理した辞書」のようなものです。開発者やセキュリティ担当者が、脆弱性を正しく把握し、対策を考えるために使われます。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:IT製品の脆弱性を評価する手法
⇒脆弱性の深刻度を評価する手法であり、CVSSの説明です。CWEは脆弱性の種類を分類する一覧です。
イ:製品を識別するためのプラットフォーム名の一覧
⇒製品やプラットフォームを識別するための一覧であり、CPEの説明です。
ウ:セキュリティに関連する設定項目を識別するための識別子
⇒セキュリティ設定項目を識別するための識別子であり、CCEの説明です。
TSUNAGARU-ADVICE

まず押さえたいこと

CWEは、個別の脆弱性そのものではなく、ソフトウェア及びハードウェアにおける脆弱性の種類を整理した一覧です。

迷ったときの判断軸

CVSSは脆弱性の深刻度評価、CPEは製品やプラットフォームの識別、CCEは設定項目の識別に使われます。一方でCWEは、バッファオーバーフローやSQLインジェクションのような脆弱性の種類を分類するものと整理すると判断しやすくなります。

科目Bにつなげるために

科目Bでは、脆弱性情報を読む場面で、何の識別子が何を表しているのかを切り分ける力が問われます。CVEは個別の脆弱性、CWEは脆弱性の種類、CVSSは深刻度、CPEは製品識別として整理しておきましょう。

の問題 試験TOPへ の問題