対象の脆弱性に適した日本語表現を共有したい ~ CWE 邦訳し JPCERT/CC GitHub で公開 | ScanNetSecurity
2024.03.28(木)

対象の脆弱性に適した日本語表現を共有したい ~ CWE 邦訳し JPCERT/CC GitHub で公開

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月16日、2023年1月にJPCERT/CCのGitHubにて公開したリポジトリー「CWE-1003-ja」について、ブログで紹介している。早期警戒グループの戸塚が執筆している。

製品・サービス・業界動向 業界動向

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月16日、2023年1月にJPCERT/CCのGitHubにて公開したリポジトリー「CWE-1003-ja」について、ブログで紹介している。早期警戒グループの戸塚が執筆している。

 同リポジトリーではCWE(Common Weakness Enumeration)に関して、下記のコンテンツを公開している。

・CWE概要(Overview_of_CWE.md)
CWEのタイプや、脆弱性に適切なCWEを選択するための方法例など

・CWE-1003日本語訳一覧(CWE-1003日本語訳一覧.md および CWE-1003日本語訳一覧.json)
CWE-1003に含まれるWeaknessのタイトルを日本語に訳した一覧

 CWEのオリジナルは英語でタイトルが簡略化されているため、海外の脆弱性調整機関やベンダーが公表する脆弱性情報をもとにJVN用に日本語のアドバイザリを作成する際に、使われているCWEを直訳すると、対象とする脆弱性の内容がイメージしにくい、誤解を生む表現となる、アドバイザリ作成者による邦訳の揺れ等の問題があり、早期警戒グループでは、対象の脆弱性に適した日本語表現の共有を目的に、CWEの邦訳に取り組むことにしたという。

 JPCERT/CCでは邦訳の対象を検討する中で、特定の観点からCWEを集めたViewの一つである「CWE-1003:Weaknesses for Simplified Mapping of Published Vulnerabilities」にたどり着き、これがNational Vulnerability Database (NVD)などに公開されている脆弱性情報に採用されるCWEを集めたもので、CWE全体からすると簡易的な集合ではあるものの、NVD同様、脆弱性に関するアドバイザリを公表するJVNに採用する頻度の高いWeaknessが多く含まれていることが判明したため邦訳対象としたとのこと。

 公開に際して、CWEに関する簡単な説明や脆弱性との関連も理解できる資料も有益と考え、CWE概要も併せて公開している。公開に際しては、人が見やすい形式(CWE-1003日本語訳一覧.md)と機械処理に向いている形式(CWE-1003日本語訳一覧.json)の2種類を用意している。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×