CWE（共通脆弱性タイプ一覧：Common Weakness Enumeration）は、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、ソフトウェアの脆弱性の種類を表現するための共通の基準です。米国政府の支援を受けた非営利団体のMITRE^(*3)を中心に、40を超える企業や組織が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました^(*4)。

　IPAでは、JVN iPediaの情報拡充や国際協力の強化に向けて、脆弱性対策情報の参考情報欄にCWEの脆弱性タイプの掲載を開始しました。これにより、利用者は脆弱性対策情報の検索をCWEの分類でおこなえるようになります。また、ソフトウェア製品開発者はCWEリストを参照することにより、公表された脆弱性の内容を理解し、同様の脆弱性の防止策を検討することができるようになります。

• http://www.ipa.go.jp/security/vuln/CWE.html

　JVN iPediaに登録した脆弱性対策情報を検索するキーワードとして、英大文字・小文字、半角・全角が混在した検索を可能にしました。例えば、「LINUX」と入力しても「Linux」と入力しても、同様の検索結果が出力されるようになり、目的の脆弱性対策情報の検索が容易になりました。

　JVN iPedia英語版( http://jvndb.jvn.jp/en/ )は、国内外の脆弱性対策情報流通の促進と国際協力の強化を目指し、2008年5月21日から公開を開始しました。現在、国内製品開発者から収集したもの60件、JVNから収集したもの311件、合計371件の脆弱性対策情報を登録しています。

　JVN iPediaの日本語ページと英語ページの対応を判り易くするため、脆弱性対策情報の参考情報欄に相互リンクの掲載を開始しました。

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Vulnerability Database。NIST（National Institute of Standards and Technology、米国国立標準技術研究所）が運営する脆弱性データベース。
http://nvd.nist.gov/

(*3)MITRE Corporation。米国政府向けの技術支援や研究開発を行う非営利組織。
http://www.mitre.org/

(*4)詳細は、「CWE Version 1.0 Now Available」を参照下さい。
http://cwe.mitre.org/news/index.html#20080909a

• プレスリリース全文

• 株式会社ラック

独立行政法人 情報処理推進機構 セキュリティ センター（IPA/ISEC） 山岸／渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail:

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山／大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: