CWE 【Common Weakness Enumeration】

様々な脆弱性のパターンを登録し、通し番号（CWE-ID）を与えて識別している。例えば、SQLインジェクションはCWE-89、クロスサイトスクリプティング（XSS）は、CWE-79、バッファオーバーフローなどのバッファエラーはCWE-119といった具合である。

個別の脆弱性だけでなく、ある観点から共通する脆弱性を集めた「ビュー」（CWE-699「開発者視点」など）、分野や特徴が共通する脆弱性を集めた「カテゴリー」（CWE-310「暗号の問題」など）、複数の脆弱性が組み合わせて生じる「複合要因」（CWE-352「クロスサイトリクエストフォージェリ」など）にも識別番号が与えられている。

各脆弱性は特徴や関連性から階層構造で管理されており、最も抽象的な「ピラー」（pillar）から、「クラス」（class）、「ベース」（base）、最も個別具体的な「バリアント」（variant）までの4階層のいずれかに配置されている。2008年の登録開始から現在までに個別の脆弱性は900以上、ビューは40以上、カテゴリーは300以上が登録されている。

関連用語

FAQ

【Frequently Asked Questions】

IPA

【Information-technology Promotion Agency】

Java

ソフトウェア

【software】

アプリケーションソフト

【application software】

ファイル

【file】

認証

【authentication】

クラス

【class】

脆弱性

【vulnerability】

リソース

【resource】

システム

【system】

ツール

【tool】

データ

【data】

セキュリティ

【security】

カテゴリ

【category】

Variant型

【バリアント型】

リスト

【list】

情報

【information】

リスク

【risk】

CVSS

【Common Vulnerability Scoring System】