• 背景
• 参考文献
• CVE (Common Vulnerabilities and Exposures) - 共通脆弱性識別子
• CVSS (Common Vulnerability Scoring System) - 共通脆弱性評価システム
• CWE (Common Weakness Enumeration) - 共通脆弱性タイプ一覧
• 実際の例
  • CVE Details
  • Oracle Java SEの例
  • Microsoftの例

背景

ソフトウェアの脆弱性を確認する際、必ず出てくる用語であるCVE, CVSS, CWEをざっくり把握しておく。 簡単に言うと、

• CVEは世の中の脆弱性の一元的なID、
• CVSSはその脆弱性の深刻度点数、
• CWEはその脆弱性がどのカテゴリなのか

を表す。

参考文献

• 情報セキュリティスペシャリスト - SE娘の剣 -
• IPA - 共通脆弱性評価システムCVSS概説
• CVE Details

CVE (Common Vulnerabilities and Exposures) - 共通脆弱性識別子

• 一言でいうと、「世の中の脆弱性情報を一意に管理するためのID」
• 様々のソフトウェア製品の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与し、脆弱性を管理
• 命名規約は、「CVE-YYYY-XXXX」 : YYYYは年、XXXXは一意の番号を表す。
  • 例）CVE-2014-3566（SSLv3脆弱性のPOODLE）、CVE-2016-1018（Abode Flashの脆弱性）
• 日本では上記CVE-IDに準拠した形のJVN-ID（IPAとJPCERT/CCが共同で運営しているJVNにより管理）で識別

CVSS (Common Vulnerability Scoring System) - 共通脆弱性評価システム

• 一言でいうと「脆弱性の深刻度のスコア」
• 情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供。
• 以下のように深刻度でレベル分け。

CWE (Common Weakness Enumeration) - 共通脆弱性タイプ一覧

• 脆弱性を種類別（どういう領域の脆弱性なのか）に分類した指標。
• CVE, CVSSの補足情報としての位置づけ。現時点（2016/12）で全てのCVEに対してCWE IDが付与されているわけではない。

実際の例

CVE Details

たとえば、2016/04月に見つかったAdobe Flash Player脆弱性のCVE-2016-1018（CVSS 9.3）はこちらに記載されている。
http://www.cvedetails.com/cve/CVE-2016-1018/

Oracle Java SEの例

Oracle社が公開した、2016/10のCritical Patch UpdateのJava SE関連脆弱性はこちらに公開されている。
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html#AppendixJAVA

一部抜粋したイメージは以下の通り。

この表では、一番左側に「CVE#」と書いてあるのがCVE ID、真ん中の「CVSS Version 3.0 RISK」の「Base Score」カラムにCVSSスコアが記載されている。

• CVE Detailsの記載
  • たとえば、上記の「CVE-2016-5556」はCVE Detailsからの情報公開 https://www.cvedetails.com/cve/CVE-2016-5556/?q=CVE-2016-5556

Microsoftの例

Microsoftの「セキュリティ アドバイザリとセキュリティ情報」の中で、MS16-132はこちらに公開されている。
https://technet.microsoft.com/library/security/ms16-132

一部抜粋したイメージは以下の通り。

この表ではCVE番号「CVE-2016-7256」とCVSS（このサイトの場合は、数字のスコアではなく「重要、緊急」などで表示）が記載されている。