CWE

CWE（Common Weakness Enumeration、共通脆弱性タイプ）は、米国の非営利団体MITREが運営するCWEコミュニティで開発された脆弱性のリストです。一般的なソフトウェアやハードウェアなどの「弱点（脆弱性）」の種類を一覧にしたもので、開発者や研究者などがセキュリティ上の弱点を議論する際の「共通言語」として活用されています。

こうした弱点はソフトウェアやファームウェア、ハードウェア、サービスコンポーネントの中に存在し、ある特定の状況下で脆弱性を生む可能性のある状態を指します。弱点には「書式文字列の問題」「不適切な認証」「競合状態」など複数の種類があり、これらを識別するために付与されたのがCWE識別子（CWE-ID）です。

似た用語として「CVE（Common Vulnerabilities and Exposures、共通脆弱性識別子）」もありますが、これは個別製品中の脆弱性を一意に識別するために付与される識別子です。これに対してCWEは、あくまで「弱点の種類」を一覧化したものであるという違いがあります。

CWEは1999年頃から仕様策定が始まり、2006年3月に最初の原案が公開されました。その後、40以上のベンダーや研究機関の協力で仕様改善と内容拡充が行われ、2008年9月9日にバージョン1.0がリリースされています[*]。2026年5月の時点でバージョン4.20がリリースされており、リスト化された弱点は944種類を数えます。

ソフトウェア開発者や品質保証／検証エンジニア、ハードウェア設計者、セキュリティアーキテクト／研究者／アナリスト、テクニカルライター、教育者などがCWEを活用しており、主なメリットには以下の3点が挙げられます[*]。