戸塚 紀子(Noriko Totsuka)

戸塚 紀子(Noriko Totsuka)

CWE(Common Weakness Enumeration)のView「CWE-1003」日本語訳の公開

早期警戒グループの戸塚です。この記事では、2023年1月にJPCERT/CCのGitHubにて公開したリポジトリー「CWE-1003-ja」[1]についてご紹介します。 このリポジトリーではCWE(Common Weakness Enumeration)[2]に関して、以下のコンテンツを公開しました。

  • CWE概要(Overview_of_CWE.md)
     CWEのタイプや、脆弱性に適切なCWEを選択するための方法例など
  • CWE-1003日本語訳一覧(CWE-1003日本語訳一覧.md および CWE-1003日本語訳一覧.json)
     CWE-1003に含まれるWeaknessのタイトルを日本語に訳した一覧

ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通基準としてMITREが示し広く利用されているCWEですが、CWEのオリジナルは英語で、かつタイトルは簡略化されています。そのため、海外の脆弱性調整機関やベンダーが公表するさまざまな脆弱性情報をもとにJVN用に日本語のアドバイザリを作成する際、使われているCWEを直訳すると、対象とする脆弱性の内容をイメージしにくかったり、誤解を生む表現となってしまったり、アドバイザリ作成者によって邦訳に揺れが生じてしまったりすることがありました。そこで私たちのグループでは、対象の脆弱性に適した日本語表現の共有を目的に、CWEの邦訳に取り組むことにしました。

この取り組みは、当初GitHubでの公開を前提としたものではなく、日頃のアドバイザリ作成時における邦訳の揺れをなくし、より適切と思われる邦訳をグループ内で共有することで、効率的なアドバイザリ作成を行うことを目的としたものでした。その中で、JVNで利用頻度の高いCWEや邦訳に揺れが生じやすいCWEなど、表現の共有効果が高いCWEを対象にしようと統計をとるなど試行錯誤しましたが、CWEの数が多く対象を絞り切れませんでした。そこで、基本に立ち返りCWE自体の構造に着目することにしました。

CWEには、皆さんがよく目にされるCWE-79(クロスサイトスクリプティング)のように個々の脆弱性種類に対応したWeaknessの他に、共通の特性を持つCWEをグループ化したCategoryと、特定の観点からCWEを集めたViewがあります。私たちが邦訳の対象を検討する中で、Viewの一つである「CWE-1003:Weaknesses for Simplified Mapping of Published Vulnerabilities」[3]にたどり着き、これがNational Vulnerability Database (NVD) [4]などに公開されている脆弱性情報に採用されるCWEを集めたもので、CWE全体からすると簡易的な集合ではあるものの、NVD同様、脆弱性に関するアドバイザリを公表するJVNに採用する頻度の高いWeaknessが多く含まれていることが分かったため、このViewを邦訳対象にしました。

その後の検討を経てまとまったCWE-1003邦訳一覧の活用が、私たちのアドバイザリ作成の効率化や正確さに一定の効果を発揮するようになりました。このため、自社製品の脆弱性に関するアドバイザリ作成や脆弱性の動向を把握する資料作成など、私たちと同じような目的を持つ方々にも活用いただけるのではないかと、これを公開することにしました。公開に際して、CWEに関する簡単な説明や脆弱性との関連も理解いただけるような資料も有益と考え、CWE概要もあわせて公開しました。また、公開に際しては、人が見やすい形式(CWE-1003日本語訳一覧.md)と機械処理に向いている形式(CWE-1003日本語訳一覧.json)の2種類を用意し、利用形態にあった使い勝手の良さも意識しています。

私たちは、この一覧を以下の考え方でアドバイザリ作成に活用しています。ご利用になる皆さまも同様にお使いいただければと存じます。

  • CWEの選択はCWE-1003内に限定せず、対象の脆弱性に適したCWEを選定し邦訳を検討する
  • 一覧に記載の邦訳が、対象の脆弱性に適している場合は、これを採用する
  • 一覧に複数の邦訳が記載されている場合、対象とする脆弱性に適した邦訳表現を選択する
  • 一覧に記載の邦訳のみが正解ではなく、より適した表現の検討と採用を心がける

また、CWEに関しては、IPAが「共通脆弱性タイプ一覧CWE概説」[5]を示し、CWEの日本語訳の公開もしています。今回私たちが邦訳したCWEもすでにIPAによる邦訳が公開され表現が異なるものもありますが、一方が正解で他方が誤りというような切り分けではなく、上に示したように、対象の脆弱性に適した表現を検討する上での参考資料が増えたとご理解ください。

CWEは、現在バージョン 4.9で、脆弱性の多様化とともに改版されます。本リポジトリーのコンテンツもこの改版などにあわせて適宜(年一回程度)見直しと必要な更新をする予定です。私たちの定期メンテナンスだけでなく、ご利用の皆さまとともにより使いやすいコンテンツに育てていければと考えておりますので、お気付きの点やご提案など、お気軽にGitHubのIssuesに投稿いただきますようお願いします。

早期警戒グループ 戸塚 紀子

参考情報

[1]JPCERT/CC GitHubリポジトリーCWE-1003-ja:https://github.com/JPCERTCC/cwe-1003-ja
[2]CWE(Common Weakness Enumeration):https://cwe.mitre.org/
[3]CWE-1003:https://cwe.mitre.org/data/definitions/1003.html
[4]National Vulnerability Database (NVD):https://nvd.nist.gov/
[5]共通脆弱性タイプ一覧CWE概説:https://www.ipa.go.jp/security/vuln/CWE.html

この記事の筆者

戸塚 紀子(Noriko Totsuka)

戸塚 紀子(Noriko Totsuka)

長年、ベンダーのPSIRT業務に携わった後、2021年4月に、脆弱性関連情報の調整業務担当としてJPCERT/CCに入社。早期警戒グループにて、主として海外ベンダとの調整業務をしております。

≪ 前へ
トップに戻る
次へ ≫