Skip navigation
サステナビリティ・
ESG金融のニュース
時価総額上位100社の96%が
Sustainable Japanに登録している。その理由は?

【国際】米国土安全保障省、サイバーセキュリティ脆弱性で2020年のトップ25CWEを発表

 米国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI)は8月20日、過去2年間でサイバーセキュリティの脆弱性が発見されたトップ25の共通脆弱性タイプ一覧(CWE)を示す「CWE Top 25 Most Dangerous Software Weaknesses」の2020年結果を発表した。同ランキングは、サイバーセキュリティを高める上で、重要な情報として活用されている。

 CWEとは、脆弱性の種類を識別するに付けられているカテゴリー仕様のこと。トップ25の抽出では、米国立標準技術研究所(NIST)が収集している「共通脆弱性・曝露(CVE)」データと、各CVEデーアに関連する「共通脆弱性スコア・システム(CVSS)」を活用し、発生頻度と深刻さの2つの観点から評価した。

  1. CWE-79:ウェブページ生成中の入力データの不適切処理(クロスサイト・スクリプティング)
  2. CWE-787:範囲外の書き込み
  3. CWE-20:不適切な入力検証
  4. CWE-125:範囲外の読み取り
  5. CWE-119:メモリバッファ境界内での処理の不適切な制限
  6. CWE-89:SQLコマンドで使用される特殊要素の不適切な無害化(SQLインジェクション)
  7. CWE-200:権限を持たないユーザへのセンシティブ情報のエクスポージャー
  8. CWE-416:解放したメモリの使用
  9. CWE-352:クロスサイト・リクエスト・フォージェリー(CSRF)
  10. CWE-78:OSコマンドで使用される特殊要素の不適切な無害化(OSコマンド・インジェクション)
  11. CWE-190:整数オーバーフローまたはラップ・アラウンド
  12. CWE-22:制限されたディレクトリに対する不適切なパス名制限(パス・トラバーサル)
  13. CWE-476:NULLポインター逆参照
  14. CWE-287:不適切な認証
  15. CWE-434:危険なタイプのファイルのアップロード制限なし
  16. CWE-732:重要なリソースへの誤った権限割当て
  17. CWE-94:制御コードの不適切な生成(コード・インジェクション)
  18. CWE-522:十分でない資格情報保護
  19. CWE-611:XML外部エンティティ参照の不適切な制限
  20. CWE-798:資格情報がハードコーディングされている問題
  21. CWE-502:信頼できないデータの逆シリアル化
  22. CWE-269:不適切な権限管理
  23. CWE-400:リソース消費の不適切な制限
  24. CWE-306:重要機能の使用に対する認証の欠如
  25. CWE-862:認可の欠如

 CWEには、粒度の大きいカテゴリーと粒度の小さいカテゴリーが混在しているが、今年度の結果では、前年と比べ、より特定化されているCWEが上位に入る結果となった。HSSEDIは、セキュリティー担当者にとって、対策箇所が把握しやすい内容となったと言及した。

【参照ページ】2020 CWE Top 25 Most Dangerous Software Weaknesses

この記事のタグ

Sustainable Japanの特長

Sustainable Japanは、サステナビリティ・ESGに関する
様々な情報収集を効率化できる専門メディアです。

  • 時価総額上位100社の96%が登録済
  • 業界第一人者が編集長
  • 7記事/日程度追加、合計11,000以上の記事を読める
  • 重要ニュースをウェビナーで分かりやすく解説※1
さらに詳しく ログインする

※1:重要ニュース解説ウェビナー「SJダイジェスト」。詳細はこちら

"【ランキング】2019年 ダボス会議「Global 100 Index: 世界で最も持続可能な企業100社」"を、お気に入りから削除しました。