米国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI)は8月20日、過去2年間でサイバーセキュリティの脆弱性が発見されたトップ25の共通脆弱性タイプ一覧(CWE)を示す「CWE Top 25 Most Dangerous Software Weaknesses」の2020年結果を発表した。同ランキングは、サイバーセキュリティを高める上で、重要な情報として活用されている。
CWEとは、脆弱性の種類を識別するに付けられているカテゴリー仕様のこと。トップ25の抽出では、米国立標準技術研究所(NIST)が収集している「共通脆弱性・曝露(CVE)」データと、各CVEデーアに関連する「共通脆弱性スコア・システム(CVSS)」を活用し、発生頻度と深刻さの2つの観点から評価した。
- CWE-79:ウェブページ生成中の入力データの不適切処理(クロスサイト・スクリプティング)
- CWE-787:範囲外の書き込み
- CWE-20:不適切な入力検証
- CWE-125:範囲外の読み取り
- CWE-119:メモリバッファ境界内での処理の不適切な制限
- CWE-89:SQLコマンドで使用される特殊要素の不適切な無害化(SQLインジェクション)
- CWE-200:権限を持たないユーザへのセンシティブ情報のエクスポージャー
- CWE-416:解放したメモリの使用
- CWE-352:クロスサイト・リクエスト・フォージェリー(CSRF)
- CWE-78:OSコマンドで使用される特殊要素の不適切な無害化(OSコマンド・インジェクション)
- CWE-190:整数オーバーフローまたはラップ・アラウンド
- CWE-22:制限されたディレクトリに対する不適切なパス名制限(パス・トラバーサル)
- CWE-476:NULLポインター逆参照
- CWE-287:不適切な認証
- CWE-434:危険なタイプのファイルのアップロード制限なし
- CWE-732:重要なリソースへの誤った権限割当て
- CWE-94:制御コードの不適切な生成(コード・インジェクション)
- CWE-522:十分でない資格情報保護
- CWE-611:XML外部エンティティ参照の不適切な制限
- CWE-798:資格情報がハードコーディングされている問題
- CWE-502:信頼できないデータの逆シリアル化
- CWE-269:不適切な権限管理
- CWE-400:リソース消費の不適切な制限
- CWE-306:重要機能の使用に対する認証の欠如
- CWE-862:認可の欠如
CWEには、粒度の大きいカテゴリーと粒度の小さいカテゴリーが混在しているが、今年度の結果では、前年と比べ、より特定化されているCWEが上位に入る結果となった。HSSEDIは、セキュリティー担当者にとって、対策箇所が把握しやすい内容となったと言及した。
米国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI)は8月20日、過去2年間でサイバーセキュリティの脆弱性が発見されたトップ25の共通脆弱性タイプ一覧(CWE)を示す「CWE Top 25 Most Dangerous Software Weaknesses」の2020年結果を発表した。同ランキングは、サイバーセキュリティを高める上で、重要な情報として活用されている。
CWEとは、脆弱性の種類を識別するに付けられているカテゴリー仕様のこと。トップ25の抽出では、米国立標準技術研究所(NIST)が収集している「共通脆弱性・曝露(CVE)」データと、各CVEデーアに関連する「共通脆弱性スコア・システム(CVSS)」を活用し、発生頻度と深刻さの2つの観点から評価した。
- CWE-79:ウェブページ生成中の入力データの不適切処理(クロスサイト・スクリプティング)
- CWE-787:範囲外の書き込み
- CWE-20:不適切な入力検証
- CWE-125:範囲外の読み取り
- CWE-119:メモリバッファ境界内での処理の不適切な制限
- CWE-89:SQLコマンドで使用される特殊要素の不適切な無害化(SQLインジェクション)
- CWE-200:権限を持たないユーザへのセンシティブ情報のエクスポージャー
- CWE-416:解放したメモリの使用
- CWE-352:クロスサイト・リクエスト・フォージェリー(CSRF)
- CWE-78:OSコマンドで使用される特殊要素の不適切な無害化(OSコマンド・インジェクション)
- CWE-190:整数オーバーフローまたはラップ・アラウンド
- CWE-22:制限されたディレクトリに対する不適切なパス名制限(パス・トラバーサル)
- CWE-476:NULLポインター逆参照
- CWE-287:不適切な認証
- CWE-434:危険なタイプのファイルのアップロード制限なし
- CWE-732:重要なリソースへの誤った権限割当て
- CWE-94:制御コードの不適切な生成(コード・インジェクション)
- CWE-522:十分でない資格情報保護
- CWE-611:XML外部エンティティ参照の不適切な制限
- CWE-798:資格情報がハードコーディングされている問題
- CWE-502:信頼できないデータの逆シリアル化
- CWE-269:不適切な権限管理
- CWE-400:リソース消費の不適切な制限
- CWE-306:重要機能の使用に対する認証の欠如
- CWE-862:認可の欠如
CWEには、粒度の大きいカテゴリーと粒度の小さいカテゴリーが混在しているが、今年度の結果では、前年と比べ、より特定化されているCWEが上位に入る結果となった。HSSEDIは、セキュリティー担当者にとって、対策箇所が把握しやすい内容となったと言及した。
米国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI)は8月20日、過去2年間でサイバーセキュリティの脆弱性が発見されたトップ25の共通脆弱性タイプ一覧(CWE)を示す「CWE Top 25 Most Dangerous Software Weaknesses」の2020年結果を発表した。同ランキングは、サイバーセキュリティを高める上で、重要な情報として活用されている。
CWEとは、脆弱性の種類を識別するに付けられているカテゴリー仕様のこと。トップ25の抽出では、米国立標準技術研究所(NIST)が収集している「共通脆弱性・曝露(CVE)」データと、各CVEデーアに関連する「共通脆弱性スコア・システム(CVSS)」を活用し、発生頻度と深刻さの2つの観点から評価した。
- CWE-79:ウェブページ生成中の入力データの不適切処理(クロスサイト・スクリプティング)
- CWE-787:範囲外の書き込み
- CWE-20:不適切な入力検証
- CWE-125:範囲外の読み取り
- CWE-119:メモリバッファ境界内での処理の不適切な制限
- CWE-89:SQLコマンドで使用される特殊要素の不適切な無害化(SQLインジェクション)
- CWE-200:権限を持たないユーザへのセンシティブ情報のエクスポージャー
- CWE-416:解放したメモリの使用
- CWE-352:クロスサイト・リクエスト・フォージェリー(CSRF)
- CWE-78:OSコマンドで使用される特殊要素の不適切な無害化(OSコマンド・インジェクション)
- CWE-190:整数オーバーフローまたはラップ・アラウンド
- CWE-22:制限されたディレクトリに対する不適切なパス名制限(パス・トラバーサル)
- CWE-476:NULLポインター逆参照
- CWE-287:不適切な認証
- CWE-434:危険なタイプのファイルのアップロード制限なし
- CWE-732:重要なリソースへの誤った権限割当て
- CWE-94:制御コードの不適切な生成(コード・インジェクション)
- CWE-522:十分でない資格情報保護
- CWE-611:XML外部エンティティ参照の不適切な制限
- CWE-798:資格情報がハードコーディングされている問題
- CWE-502:信頼できないデータの逆シリアル化
- CWE-269:不適切な権限管理
- CWE-400:リソース消費の不適切な制限
- CWE-306:重要機能の使用に対する認証の欠如
- CWE-862:認可の欠如
CWEには、粒度の大きいカテゴリーと粒度の小さいカテゴリーが混在しているが、今年度の結果では、前年と比べ、より特定化されているCWEが上位に入る結果となった。HSSEDIは、セキュリティー担当者にとって、対策箇所が把握しやすい内容となったと言及した。
【参照ページ】2020 CWE Top 25 Most Dangerous Software Weaknesses
ここから先は有料登録会員限定のコンテンツとなります。有料登録会員へのアップグレードを行って下さい。
米国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI)は8月20日、過去2年間でサイバーセキュリティの脆弱性が発見されたトップ25の共通脆弱性タイプ一覧(CWE)を示す「CWE Top 25 Most Dangerous Software Weaknesses」の2020年結果を発表した。同ランキングは、サイバーセキュリティを高める上で、重要な情報として活用されている。
CWEとは、脆弱性の種類を識別するに付けられているカテゴリー仕様のこと。トップ25の抽出では、米国立標準技術研究所(NIST)が収集している「共通脆弱性・曝露(CVE)」データと、各CVEデーアに関連する「共通脆弱性スコア・システム(CVSS)」を活用し、発生頻度と深刻さの2つの観点から評価した。
- CWE-79:ウェブページ生成中の入力データの不適切処理(クロスサイト・スクリプティング)
- CWE-787:範囲外の書き込み
- CWE-20:不適切な入力検証
- CWE-125:範囲外の読み取り
- CWE-119:メモリバッファ境界内での処理の不適切な制限
- CWE-89:SQLコマンドで使用される特殊要素の不適切な無害化(SQLインジェクション)
- CWE-200:権限を持たないユーザへのセンシティブ情報のエクスポージャー
- CWE-416:解放したメモリの使用
- CWE-352:クロスサイト・リクエスト・フォージェリー(CSRF)
- CWE-78:OSコマンドで使用される特殊要素の不適切な無害化(OSコマンド・インジェクション)
- CWE-190:整数オーバーフローまたはラップ・アラウンド
- CWE-22:制限されたディレクトリに対する不適切なパス名制限(パス・トラバーサル)
- CWE-476:NULLポインター逆参照
- CWE-287:不適切な認証
- CWE-434:危険なタイプのファイルのアップロード制限なし
- CWE-732:重要なリソースへの誤った権限割当て
- CWE-94:制御コードの不適切な生成(コード・インジェクション)
- CWE-522:十分でない資格情報保護
- CWE-611:XML外部エンティティ参照の不適切な制限
- CWE-798:資格情報がハードコーディングされている問題
- CWE-502:信頼できないデータの逆シリアル化
- CWE-269:不適切な権限管理
- CWE-400:リソース消費の不適切な制限
- CWE-306:重要機能の使用に対する認証の欠如
- CWE-862:認可の欠如
CWEには、粒度の大きいカテゴリーと粒度の小さいカテゴリーが混在しているが、今年度の結果では、前年と比べ、より特定化されているCWEが上位に入る結果となった。HSSEDIは、セキュリティー担当者にとって、対策箇所が把握しやすい内容となったと言及した。