CWEとは？わかりやすく解説

共通弱点タイプ一覧 (きょうつうぜいじゃくせいタイプいちらん、英語: Common Weakness Enumeration、略:CWE) は、ハードウェアおよびソフトウェアの弱点と脆弱性のカテゴリシステムである^[1]。ソフトウェアやハードウェアの欠陥を理解し、それらの欠陥を特定、修正、防止するために使用できる自動化ツールの作成を目的としたコミュニティプロジェクトによって維持されている。このプロジェクトは、マイター・コーポレーションによって運営される米国国土安全保障省 (DHS) のサイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) のオフィスが後援しており^[2]、米国国土安全保障省のUS-CERTおよび国家サイバーセキュリティ・ディビジョンからの支援を受けている^[3]^[4]。

リストおよび関連する分類法（タクソノミ）の最初のリリースは2006年に行われた^[5]。CWE標準のバージョン4.15は、2024年7月にリリースされた^[6]。

CWEには600以上のカテゴリがあり、バッファオーバーフロー、パスやディレクトリのツリートラバーサルエラー、競合状態、クロスサイトスクリプティング、ハードコードされたパスワード、安全でない乱数などのクラスが含まれている^[7]。

例

CWEカテゴリ121は、スタックベースのバッファオーバーフロー用である^[8]。

CWE互換性

CWE（Common Weakness Enumeration）互換性プログラムは、サービスまたは製品を審査し、公式に「CWE互換（CWE-Compatible）」および「CWE有効（CWE-Effective）」として登録することを可能にする制度である。このプログラムは、組織が適切なソフトウェアツールを選択し、考えられる弱点とその潜在的な影響について学ぶのを支援する。

CWE互換のステータスを取得するには、製品またはサービスは以下の6つの要件のうち4つを満たす必要がある。

CWE検索可能	ユーザーがCWE識別子を使用してセキュリティ要素を検索できること
CWE出力	ユーザーに提示されるセキュリティ要素に、関連するCWE識別子が含まれている、またはユーザーが取得できるようになっていること
マッピングの正確性	セキュリティ要素が適切なCWE識別子に正確にリンクしていること
CWEドキュメント	機能のドキュメントに、CWE、CWE互換性、およびその機能におけるCWE関連機能の使用方法が記載されていること
CWEカバレッジ	CWE互換性およびCWE有効性に関して、機能のドキュメントに、ソフトウェア内の特定に対して機能がカバレッジおよび有効性を主張するCWE-IDが明示的にリストされていること
CWEテスト結果	CWE有効性に関して、CWEのソフトウェアを評価した結果を示す機能のテスト結果が、CWEのWebサイトに掲載されていること

2019年9月時点で、CWE互換ステータスを達成した製品やサービスを開発・維持している組織は56存在する^[9]。

研究、批判、および新たな展開

一部の研究者は、CWEにおける曖昧さは回避または削減できると考えている^[10]。

2024年4月16日をもって、CWE互換性プログラムは終了した^[11]。

脚注

[脚注の使い方]

^ “CWE - About CWE”. at mitre.org. 2026年2月26日閲覧。
^ “CWE - Frequently Asked Questions (FAQ)”. cwe.mitre.org. 2026年2月26日閲覧。
^ “Vulnerabilities | NVD CWE Slice”. National Vulnerability Database. 2026年2月26日閲覧。
^ Goseva-Popstojanova, Katerina; Perhinschi, Andrei (2015). “On the capability of static code analysis to detect security vulnerabilities”. Information and Software Technology (Elsevier) 68: 18–33. doi:10.1016/j.infsof.2015.08.002.
^ “CWE - About - CWE History”. cwe.mitre.org. 2026年2月26日閲覧。
^ “CWE Version 4.15 Now Available”. Mitre Corporation. 2026年2月26日閲覧。
^ Irena Bojanova (2014年). “Bugs Framework (BF): Formalizing Software Security Weaknesses and Vulnerabilities”. samate.nist.gov. 2026年2月26日閲覧。
^ “CWE - CWE-121: Stack-based Buffer Overflow (4.15)”. cwe.mitre.org. 2026年2月26日閲覧。
^ “CWE - CWE-Compatible Products and Services”. at mitre.org. 2026年2月26日閲覧。
^ Paul E. Black (2015年). “Towards a "Periodic Table" of Bugs”. 国立標準技術研究所. 2026年2月26日閲覧。
^ “CWE-Compatible Products and Services”. Common Weakness Enumeration. 2025年1月7日時点のオリジナルよりアーカイブ。2026年2月26日閲覧。

外部リンク

Certifying Applications for Known Security Weaknesses. The Common Weakness Enumeration (CWE) Effort // 2007年3月6日
“Classes of Vulnerabilities and Attacks”. Wiley Handbook of Science and Technology for Homeland Security. 2016年3月22日時点のオリジナルよりアーカイブ。2026年2月26日閲覧。

[cwe_about-1] “CWE - About CWE”. at mitre.org. 2026年2月26日閲覧。

[cwe_faq-2] “CWE - Frequently Asked Questions (FAQ)”. cwe.mitre.org. 2026年2月26日閲覧。

[nvd_cwe-3] “Vulnerabilities | NVD CWE Slice”. National Vulnerability Database. 2026年2月26日閲覧。

[goseva_2015-4] Goseva-Popstojanova, Katerina; Perhinschi, Andrei (2015). “On the capability of static code analysis to detect security vulnerabilities”. Information and Software Technology (Elsevier) 68: 18–33. doi:10.1016/j.infsof.2015.08.002.

[cwe_history-5] “CWE - About - CWE History”. cwe.mitre.org. 2026年2月26日閲覧。

[cwe_4_15-6] “CWE Version 4.15 Now Available”. Mitre Corporation. 2026年2月26日閲覧。

[samate-7] Irena Bojanova (2014年). “Bugs Framework (BF): Formalizing Software Security Weaknesses and Vulnerabilities”. samate.nist.gov. 2026年2月26日閲覧。

[cwe_121-8] “CWE - CWE-121: Stack-based Buffer Overflow (4.15)”. cwe.mitre.org. 2026年2月26日閲覧。

[cwe_compatible_orgs-9] “CWE - CWE-Compatible Products and Services”. at mitre.org. 2026年2月26日閲覧。

[nist_periodic-10] Paul E. Black (2015年). “Towards a "Periodic Table" of Bugs”. 国立標準技術研究所. 2026年2月26日閲覧。

[cwe_discontinued-11] “CWE-Compatible Products and Services”. Common Weakness Enumeration. 2025年1月7日時点のオリジナルよりアーカイブ。2026年2月26日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力検証 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPパラメータ汚染 (CWE-235) HTTPヘッダ・インジェクション (CWE-113) HTTPリクエストスマグリング (CWE-444) HTTPレスポンス分割 (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クリプトジャッキングクロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）ドライブバイダウンロード
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) 権限昇格 DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) ランサムウェアクリアチャネル評価攻撃（英語版）
電子メール関連	オープンリレーフィッシング (詐欺) (CAPEC-98) メールヘッダ・インジェクションメールボム Eメールスプーフィング（英語版）
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response（英語版）(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Brand Indicators for Message Identification (BIMI) DKIM DMARC Outbound Port 25 Blocking（OP25B） Sender Policy Framework (SPF) STARTTLS S/MIME Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) セキュリティ侵害インジケーター (IoC) ソフトウェア・サプライチェーン多層防御ゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃 Exploit kit ゼロデイ攻撃サイバーキルチェーンクラッキングサイバー脅威インテリジェンスサプライチェーン攻撃シェルコードスクリプトキディソーシャル・エンジニアリングセキュリティホールダークウェブデジタル・フォレンジックハクティビズムハッカーブラウザクラッシャーペイロードボットネットマルウェア水飲み場型攻撃 Metasploit PPAP
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）内閣サイバーセキュリティセンター（NISC）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通攻撃パターン一覧 (CAPEC) 共通脆弱性識別子（CVE）共通脆弱性評価システム（CVSS）共通脆弱性タイプ一覧（CWE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度

CWEとは？わかりやすく解説

共通脆弱性タイプ一覧

例

CWE互換性

研究、批判、および新たな展開

関連項目

脚注

外部リンク

CWE

英和和英テキスト翻訳

「CWE」の関連用語


	All text is available under the terms of the GNU Free Documentation License. この記事は、ウィキペディアの共通脆弱性タイプ一覧 (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
	Text is available under GNU Free Documentation License (GFDL). Weblio辞書に掲載されている「ウィキペディア小見出し辞書」の記事は、Wikipediaのダリップ・シン (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。

CWEとは？ わかりやすく解説

共通脆弱性タイプ一覧

例

CWE互換性

研究、批判、および新たな展開

関連項目

脚注

外部リンク

CWE

英和和英テキスト翻訳

「CWE」の関連用語

CWEとは？わかりやすく解説