CWEとは

Common Weakness Enumeration

概要

CWE（Common Weakness Enumeration）は、ソフトウェアとハードウェアのセキュリティ上の弱点・脆弱性を体系的に分類・列挙した標準リストです。米国の非営利研究機関 MITRE Corporation によって管理・公開されており、セキュリティコミュニティ全体の共通言語として機能しています。

各エントリには一意の番号（CWE ID）が付与されており、CWE-79（クロスサイトスクリプティング）やCWE-89（SQLインジェクション）のように、脆弱性の種類を標準化された識別子で参照できます。

エントリの種別

CWEには以下の3種類のエントリがあります。

• 脆弱性（Weakness） — 具体的なコード上の欠陥を記述したエントリ。説明・影響範囲・対策・コード例などが含まれます。
• カテゴリ（Category） — 共通の特性を持つ脆弱性をまとめたグループ。「入力値検証の不備」など。
• ビュー（View） — 特定の目的や視点でCWEを整理した集合。OWASP Top 10対応ビューなど。

ステータス

各エントリにはそのエントリ自体の記述の完成度・信頼性を示すステータスが設定されています。

• 確定版（Stable） — 十分なレビューを経た完成済みエントリ。内容の信頼性が高く、大きな変更は予定されていません。
• レビュー中（Draft） — ある程度内容は整っていますが、追加のレビューや修正が入る可能性があります。
• 作成中（Incomplete） — 説明・対策・コード例などの情報が不足しており、まだ作業中のエントリです。

CVEとの関係

CVE（Common Vulnerabilities and Exposures）は個別の脆弱性事例に番号を付与するリストですが、CWEは脆弱性の「種類」を分類したものです。NVDなどのデータベースでは各CVEに対してCWE IDが紐付けられており、CVEからCWEを参照することで根本原因を把握できます。

活用シーン

• コードレビュー・設計段階での脆弱性チェックリストとして
• SAST・DASTなど静的解析ツールの検出結果分類に
• 脅威モデリング・ペネトレーションテストの参照資料として
• セキュリティ教育・トレーニングの教材として

このサイトについて

当サイトは MITRE CWE のデータをもとに、日本語で高速に検索・閲覧できるリファレンスサイトです。CWE v4.19.1 のデータを使用しています。原典となる MITRE の公式サイトは cwe.mitre.org をご参照ください。