メインコンテンツへスキップ
  1. Blog/

CVE関連の用語まとめてみた

CVEとは、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。

はじめに #

こんにちは、IKです。

自分が学んだことを文書として記録しておこうと考え、記述します。

今回はCVE関連の用語についてまとめてみました。


CVEとは #

個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。

脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。

IPAが運営しているJVNなどもCVEと同期しています。

CVE(公式)


CVE関連用語まとめ #

項目名称詳細運営組織CVEとの同期
CVECommon Vulnerabilities and Exposuresセキュリティ上の脆弱性に対する共通の識別子を提供する標準的な辞書。MITRE Corporationはい
CWECommon Weakness Enumerationソフトウェアやハードウェアの脆弱性に関する共通の弱点を定義する辞書。MITRE Corporationいいえ
CVSSCommon Vulnerability Scoring System脆弱性の深刻度を数値化するためのフレームワーク。FIRST (Forum of Incident Response and Security Teams)いいえ
NVDNational Vulnerability Databaseアメリカ国立標準技術研究所(NIST)が提供するCVEに関する情報をまとめたデータベース。NIST (National Institute of Standards and Technology)はい
JVNJapan Vulnerability NotesIPA(情報処理推進機構)が提供する脆弱性情報ポータル。日本国内での脆弱性情報を提供。IPA (Information-Technology Promotion Agency, Japan)はい

CVEとCWEの違い #

特徴CVECWE
定義セキュリティ上の脆弱性に対する共通の識別子を提供する標準的な辞書。
個別製品中の脆弱性を対象としている。
ソフトウェアやハードウェアの脆弱性に関する
共通の弱点を定義する辞書。
例:XSS,SQLインジェクション など
目的脆弱性の識別子を統一して管理し、情報の共有と追跡を容易にする。脆弱性の根本的な原因や弱点を定義し、開発者やセキュリティ専門家に対して教育的な役割を果たす。
組織MITRE CorporationMITRE Corporation
種類識別子弱点

CWE といえばこれ #

CWE

共通脆弱性タイプ一覧CWE概説 - IPA


終わりに #

CVE関連の用語についてまとめました。

基本的には生成AIに書かせましたが、ある程度は正確そうですね。

最後までお読みいただきありがとうございました。