サマリ この記事の想定読者は、企業等の脆弱性ハンドリング担当者です。脆弱性情報にしばしば出てくるCWE-20の読み解き方を説明します。 CWEとは CWEはCommon Weakness Enumerationの略で、日本語では「共通脆弱性タイプ一覧」と訳されています。この訳からも分かるように、脆弱性をタイプ毎に分類しているものです。つまり、SQLインジェクション、XSS、バッファオーバーフロー等に、CWE-XXXという「分類番号」をふったものと考えるとわかりやすいでしょう。以下は、IPAが公表しているCWEの解説記事からの引用です。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.
![CWE-20入門](https://cdn-ak-scissors.b.st-hatena.com/image/square/f2d09b6fb8c03a7fab813625abcac286c0557ee4/height=288;version=1;width=512/https%3A%2F%2F4.bp.blogspot.com%2F-3jKXPqpfQcg%2FXDyMnXj_MtI%2FAAAAAAAAQWw%2FQQWjUZ4CY50rpyD_BVKA1xJbW3qz3XqoQCLcBGAs%2Fw1200-h630-p-k-no-nu%2Fcwex.png)