はじめに
初めての投稿となります。
普段はラクスパートナーズでクラウドエンジニアとして働いています。
特に技術的に詳しいこと、面白いことが思いつかなかったので業務で調べた脆弱性の基本的なことについてまとめたいと思います。
脆弱性について
業務で脆弱性を調べた中で知っておいた方がよかったかなと思う用語についてまとめたいと思います。
- CVE
共通脆弱性識別子というやつです。簡単に言うと脆弱性それぞれに名前が付けてあるみたいな感じです。
CVE-〇〇-△△ みたいな感じで発見された脆弱性ごとに番号が付きます。
〇〇には発見された年(2025年なら2025)、△△には発見された番号順に番号が振られます。 - CWE
共通脆弱性タイプというみたいです。脆弱性の種類ごとに番号がついています。
例えばSQLインジェクションはCWE-89という番号が振られています。脆弱性のCWEを調べるとどのような脆弱性かわかるわけですね。 - CVSS
共通脆弱性評価システムというみたいです。脆弱性の重大度ごとにスコアが付くわけです。0~10でスコアが付きます。
一応記載しておくと10に近づくほど脆弱性の重大度が大きくなっていきます。
CVSSスコアはバージョンがありますが2025年12月現在はCVSS 4.0が最新となっています。
まとめ
なんとなくまとめてみましたが、ありきたりな記事になってしまいました。
今後また記事を書くことがあればそれぞれについてもっと細かく書きたいなと思います。
素人なりにまとめたので間違いなどがあれば教えていただけたら幸いです。