Microsoft、セキュリティレポートに「CWE」標準を採用、脆弱性のタイプを分類して表示

「セキュリティ更新プログラム ガイド」に「CWE」が掲載

　米Microsoftは4月8日（現地時間）、セキュリティ脆弱性の透明性を高めるために「CWE」標準を採用したと発表した。「セキュリティ更新プログラム ガイド」などに掲載される脆弱性レポートに、CVE番号とともに表示される。

　「CWE」（Common Weakness Enumeration）は、ソフトウェアにおけるセキュリティ上の弱点（脆弱性）の種類を識別するための共通基準。つまり、脆弱性のタイプを分類したものだ。たとえば、先日「Rust」をはじめとする多くのプログラミング言語で報告されたWindows環境における引数エスケープ処理の不備は、OSコマンドインジェクション（CWE-78）、引数インジェクション（CWE-88）に分類される。CWE番号を見れば、だいたいどのような種類の脆弱性なのかがわかるというわけだ。

JVNで採用されているCVEの分類

　Microsoftの「セキュリティ更新プログラム ガイド」の場合、個別の脆弱性レポートの「Weakness」欄にCWE番号が表示される（一部製品を除く）。この情報は「SUG CVRF API」（セキュリティ更新プログラム ガイドの情報を取得するAPI）でも利用可能で、「CVE.org」や「NVD.nist.gov」にも掲出される。

　同社は正確なCWE情報を率先して提供することで、同業他社にもこの取り組みを奨励し、脆弱性の分類全体を体系的に理解して、軽減・排除することに役立てたいとしている。また、CWEの採用を通じ、顧客は透明性と相互運用性の向上の恩恵を受けられるとしている。