一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月16日、2023年1月にJPCERT/CCのGitHubにて公開したリポジトリー「CWE-1003-ja」について、ブログで紹介している。早期警戒グループの戸塚が執筆している。
同リポジトリーではCWE(Common Weakness Enumeration)に関して、下記のコンテンツを公開している。
・CWE概要(Overview_of_CWE.md)
CWEのタイプや、脆弱性に適切なCWEを選択するための方法例など
・CWE-1003日本語訳一覧(CWE-1003日本語訳一覧.md および CWE-1003日本語訳一覧.json)
CWE-1003に含まれるWeaknessのタイトルを日本語に訳した一覧
CWEのオリジナルは英語でタイトルが簡略化されているため、海外の脆弱性調整機関やベンダーが公表する脆弱性情報をもとにJVN用に日本語のアドバイザリを作成する際に、使われているCWEを直訳すると、対象とする脆弱性の内容がイメージしにくい、誤解を生む表現となる、アドバイザリ作成者による邦訳の揺れ等の問題があり、早期警戒グループでは、対象の脆弱性に適した日本語表現の共有を目的に、CWEの邦訳に取り組むことにしたという。
JPCERT/CCでは邦訳の対象を検討する中で、特定の観点からCWEを集めたViewの一つである「CWE-1003:Weaknesses for Simplified Mapping of Published Vulnerabilities」にたどり着き、これがNational Vulnerability Database (NVD)などに公開されている脆弱性情報に採用されるCWEを集めたもので、CWE全体からすると簡易的な集合ではあるものの、NVD同様、脆弱性に関するアドバイザリを公表するJVNに採用する頻度の高いWeaknessが多く含まれていることが判明したため邦訳対象としたとのこと。
公開に際して、CWEに関する簡単な説明や脆弱性との関連も理解できる資料も有益と考え、CWE概要も併せて公開している。公開に際しては、人が見やすい形式(CWE-1003日本語訳一覧.md)と機械処理に向いている形式(CWE-1003日本語訳一覧.json)の2種類を用意している。
