「CWE(Common Weakness Enumeration)」は、ソフトウェアやハードウェアにおけるセキュリティ上の弱点や脆弱性の種類を識別するために広く使われているカテゴライズシステムである。日本語では「共通脆弱性タイプ一覧」と呼ばれることもある。CWEは米国の国土安全保障省の支援の下、MITER(The Mitre Corporation)によって維持されている。CWEには900を超えるプログラミングや設計、アーキテクチャなどに関する弱点のデータがリスト化されており、ソフトウェアの脆弱性はCWE識別番号とひもづけられることで、その影響度や一般的な対策方法などを迅速に把握することができるようになっている。
2021年10月27日、MITERは「2021 CWE Most Important Hardware Weaknesses」というレポートを公開した。これは、2021年にCWEにリスト化されたハードウェアの弱点のうち、最も重要と判断されたものをピックアップしてまとめた報告書である。一般的なハードウェアの弱点に対する認識を促進し、製品開発ライフサイクルの早い段階で間違いを排除できるようにすることを目標として作成されている。
The 2021 CWE Most Important Hardware Weaknessesには、次に挙げる12件の弱点がリストアップされた。
- CWE-1189: Improper Isolation of Shared Resources on System-on-a-Chip (SoC)
- CWE-1191: On-Chip Debug and Test Interface With Improper Access Control
- CWE-1231: Improper Prevention of Lock Bit Modification
- CWE-1233: Security-Sensitive Hardware Controls with Missing Lock Bit Protection
- CWE-1240: Use of a Cryptographic Primitive with a Risky Implementation
- CWE-1244: Internal Asset Exposed to Unsafe Debug Access Level or State
- CWE-1256: Improper Restriction of Software Interfaces to Hardware Features
- CWE-1260: Improper Handling of Overlap Between Protected Memory Ranges
- CWE-1272: Sensitive Information Uncleared Before Debug/Power State Transition
- CWE-1274: Improper Access Control for Volatile Memory Containing Boot Code
- CWE-1277: Firmware Not Updateable
- CWE-1300: Improper Protection of Physical Side Channels
選出にあたっては、その弱点が検出される頻度や、緩和のためにハードウェアの変更が必要が否か、悪用のために物理的なアクセスが必要かといった観点で9つの基準が設けられ、SIG(Special Interest Group)による投票などのプロセスを経て候補の絞り込みを行っていったという。ただし、この弱点リストを作成するための方法論には専門家による主観的な意見の活用も含まれているため、統計的な厳密さには欠ける点があることが追記されている。
なおMITERでは、ハードウェアだけでなくソフトウェアの弱点に関しても、危険度の高いとされる25件を抽出した「CWE Top-25 Most Dangerous SoftwareWeaknesses」を公開している。
ソフトウェアの弱点の評価については、CVEのデータを活用することで弱点の頻度と重要度を考慮するデータ駆動型アプローチを実現しているという。現段階ではハードウェアのCWEはCVEとの関連づけが限られているため、ソフトウェアと同じ評価法を用いることはできない。ただし、MITERではハードウェアの脆弱性に関するCVEレコードの発行に取り組んでいるため、それが充実することによってハードウェアCVEの評価法も改善される可能性があるとのことだ。