本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)について。
OSSセキュリティ技術の会の面和毅です。本連載「OpenSCAPで脆弱(ぜいじゃく)性対策はどう変わる?」では、実質的にグローバルスタンダードの「SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)」、およびそれを基にシステム構成や脆弱性の検査を行うためのOSS(オープンソースソフトウェア)ツール「OpenSCAP」や、その周辺の技術、用語などを紹介しています。
前回から数回にかけて、SCAPの歴史的背景と用語定義を見ています。
SCAPは現在、下記のような要素で構成されています。
今回は、CVE、CVSS、CPEを取り上げた前回の続きです。CWEから見ていきましょう。
CWEはソフトウェアの脆弱性の種類を識別するためのユニークなIDです。MITREが中心になって1999年ごろから使用策定が行われ、AppleやRational(IBM)、OWASP、日本のIPAが協力して2008年9月9日にバージョン1.0が公開されました。それ以降もメンテナンスが継続しており、現在のバージョンは2.10になっています。
CWEは、SQLインジェクションやCSRF、XSS、バッファオーバーフローなど多種多様の脆弱性を識別するために、脆弱性の種類(脆弱性タイプ)を体系化して提供しています。CWEはツリー構造になっており、MITREのサイトから大きく2つの見方で確認できます(図1)。
「View by Research Concept」で見ていくと、図2のようになっており、「View by Development Concept」で見ていくと、図3のようになっています。
それぞれツリーを展開していくと、カテゴリーから各CWEになっていき、それぞれ親子関係ができていて、最終的なCWEに行き着くことができます。
例えば図4を見ると、「Heap-based Buffer Overflow」は「CWE CATEGORY: Data Handling(データハンドリング)」→「CWE-118: Improper Access of Indexable Resource ('Range Error')(インデックス可能なリソースへの不正なアクセス('範囲エラー'))」→「CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer(メモリバッファーの境界への操作制限の不足)」→「CWE-788: Access of Memory Location After End of Buffer(バッファーの境界以降のメモリへのアクセス)」の下にあることが分かります。
CWE-122の「Heap Based Buffer Overflow」をクリックすると、この脆弱性の詳しい説明が表示されます(図5)。
Copyright © ITmedia, Inc. All Rights Reserved.