IT用語帳

CWE(共通脆弱性タイプ一覧)

Common Weakness Enumeration

しーだぶりゅーいー

ソフトウェア及びハードウェアの脆弱性の種類を体系的に分類・一覧化した国際的な基準。JVNなどの脆弱性対策ポータルサイトで採用されている。バッファオーバーフロー、SQLインジェクションなどの脆弱性タイプを識別子で管理する。
脆弱性分類標準セキュリティ
情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること > 脆弱性への対応

関連キーワードの用語

SCCVE

個々の脆弱性に対して一意のID(CVE-ID)を付与する、国際的な脆弱性識別の仕組み。MITRE社が管理し、脆弱性情報の共有や対策の標準化に貢献する。CVE-ID(例: CVE-2024-12345)により脆弱性を一意に特定できる。

SCCVSS(共通脆弱性評価システム)

脆弱性の深刻度を0.0〜10.0のスコアで定量的に評価するための国際的な基準。基本評価基準(脆弱性の技術的特性)、現状評価基準(攻撃コードの有無等)、環境評価基準(組織固有の影響)の3つの評価基準から構成される。

SCSCAP

セキュリティの設定確認や脆弱性評価を自動化するための標準仕様群。NISTが策定し、CVE、CVSS、CPE(共通プラットフォーム一覧)、CWEなどの個別規格を組み合わせて、セキュリティ対策の自動化と標準化を実現する。

SCSTIX/TAXII

STIX(Structured Threat Information eXpression)は脅威情報を構造化して記述するための形式。TAXII(Trusted Automated eXchange of Indicator Information)はSTIXで記述された脅威情報を自動的に交換するためのプロトコル。組織間でのサイバー脅威情報の共有に活用される。

SCJIS(日本産業規格)

産業標準化法に基づいて制定される日本の国家規格。情報セキュリティ分野では、JIS Q 27001(ISMS要求事項)、JIS Q 27002(管理策の実践規範)、JIS Q 31000(リスクマネジメント)などが重要である。

SC情報セキュリティ早期警戒パートナーシップ

ソフトウェア等の脆弱性情報を適切にハンドリングするための官民連携の枠組み。発見者がIPAに届出を行い、JPCERT/CCが開発者との調整を行った上で、JVNを通じて脆弱性情報を公開する。