capec（CAPEC）とは？初心者でも分かるセキュリティの基本ガイド共起語・同意語・対義語も併せて解説！

この記事を書いた人

高岡智則

年齢：33歳性別：男性職業：Webディレクター（兼ライティング・SNS運用担当）居住地：東京都杉並区・永福町の1LDKマンション出身地：神奈川県川崎市身長：176cm 体系：細身〜普通（最近ちょっとお腹が気になる）血液型：A型誕生日：1992年11月20日最終学歴：明治大学・情報コミュニケーション学部卒通勤：京王井の頭線で渋谷まで（通勤20分）家族構成：一人暮らし、実家には両親と2歳下の妹恋愛事情：独身。彼女は2年いない（本人は「忙しいだけ」と言い張る）

capec（CAPEC）とは何か

capec という言葉は Common Attack Pattern Enumeration and Classification の略であり MITRE が公開するセキュリティの枠組みです。CAPEC は特定の脆弱性を指すのではなく、攻撃者がとりうる「パターン」や「型」を整理したものです。つまり、攻撃の具体的な手口を網羅的に収録している辞書のようなものです。

CAPEC の目的と使い方

目的は防御側がどの攻撃パターンを想定するべきかを整理し対策を設計しやすくすることです。セキュリティ担当者や開発者が脅威モデルを作るとき CAPEC を参照するとどのようなパターンが発生し得るかを体系的に検討できます。

CAPEC の構成と例

各 CAPEC エントリには ID と名前、説明、実例、および関連パターンや対策のヒントが含まれます。たとえば「入力検証の不備」や「セッションの乗っ取り」といった攻撃パターンが具体的にどのように現れるかをイメージしやすく整理されています。具体的な番号は CAPEC-〇〇のように表され、学習時にはこの番号を覚えると参照が楽になります。

CAPEC の実務的な活用

実務では CAPEC を使って 脅威モデリング を行い、アプリケーションの入口である 入力値の検証、認証とセッション管理、権限の昇格 などの分野でどのパターンが該当するかを洗い出します。次に、各パターンに対する具体的な対策を検討します。例として「入力検証の不備」に対してはサニタイズや正規表現の適切な使用、境界値チェック、再入可能性の検証を挙げることができます。CAPEC はこのように専門家だけでなく初学者にも対策のヒントを提供する道具です。

CAPEC と他のセキュリティ枠組みの関係

CAPEC は CWE や OWASP と連携して使われます。CWE は「欠陥の原因」を分類し OWASP はウェブアプリの脆弱性を中心に整理します。一方 ATT&CK は攻撃者の行動や手口を時間軸で整理します。これらの枠組みは重なる部分がありお互いを補完します。CAPEC を中心に学習を始めその後 CWE OWASP ATT&CK を補助的に使うと、セキュリティの全体像が見えやすくなります。

初心者が CAPEC を学ぶための進め方

まず CAPEC の概要と代表的なパターンを押さえます。次に自分の作るアプリケーションやシステムの「入口」領域に即したパターンを中心に学習します。実際の事例を読み、パターンがどのように現れ、どんな対策が有効か を考える練習を繰り返すと理解が深まります。学習を続けると CAPEC のエントリ番号や名前が自然に頭に入り、脅威を見つける力が養われます。

項目	内容
目的	攻撃パターンを整理し対策を設計する枠組みとしてのCAPEC
対象	ウェブアプリ、ネットワーク、システム全般
使い方の例	脅威モデリングの材料として利用、教育やテスト計画の指針に活用

CAPEC は初心者にも扱いやすい入門教材です。攻撃の型を知ることは防御の第一歩であり、日常のセキュリティ学習に取り入れると理解が深まります。

capecの同意語

CAPEC: Common Attack Pattern Enumeration and Classificationの略称。MITREが提供する、攻撃者が利用する攻撃パターンを一覧化して分類したセキュリティのカタログ。
Common Attack Pattern Enumeration and Classification: CAPECの正式名称。共通した攻撃パターンを列挙し、脆弱性対策の設計に役立てるための分類体系。
共通攻撃パターン列挙と分類: CAPECを日本語で表現した名称。共通の攻撃パターンを列挙・分類する体系のこと。
攻撃パターンカタログ: 攻撃手法の一覧・解説を集めたカタログの意味で、CAPECの別名として使われることがある表現。
攻撃パターン辞典: CAPECの別称。攻撃パターンを辞典的に集めたリソースを指す表現。
攻撃パターン分類体系: CAPECの機能を表す表現。攻撃パターンを分類・整理する枠組み。
攻撃パターンの共通集合: CAPECの概念を説明する言い換え。共通した攻撃パターンの集合を意味する表現。
パターン別攻撃分類: CAPECの使い方を示す言い換え表現。パターンごとに分類した体系。
MITRE CAPEC: CAPECを提供する組織MITREの名称を付した表現。公式リファレンスとして使われることが多い。

capecの対義語・反対語

防御パターン分類: CAPEC は攻撃パターンを列挙・分類する枠組みですが、これの対義概念としては攻撃を防ぐための防御パターンを分類する枠組みを指します。具体的には入力検証の徹底、認証と権限の強化、境界防御の設置、監視と検知の強化、セキュアデフォルト設定などが挙げられます。
セキュリティ対策分類: 対義の視点として、攻撃手法の列挙ではなく、実際に適用する防御策を技術・運用・組織の三層で整理する分類です。例として技術的対策（ファイアウォール、IDS/IPS、暗号化など）、運用対策（監視体制、インシデント対応手順）、組織的対策（教育、ポリシー、リスク管理）があります。
脆弱性対策の分類: 脆弱性が悪用される前提を前提とせず、脆弱性を未然に防ぐ対策を分類する枠組みです。パッチ管理、セキュアコーディング、入力検証の徹底、権限の最小化、デフォルト設定のセキュリティ強化などが含まれます。
防御設計ガイド: システムを防御重視で設計・実装するための指針を集約したガイドです。セキュアアーキテクチャの原則、最小権限の原則、境界防御の設計、冗長性と回復性の確保などが含まれます。
リスク低減手法の体系: リスクを低減する技術・運用・組織的手法を整理した体系です。リスク評価の実施、隔離・分離の設計、冗長性の導入、監視と事象対応の計画、事業継続性の準備などが挙げられます。
攻撃検知・監視の分類: 攻撃を検知・監視する手法を整理する枠組みです。侵入検知システムや行動分析、異常検知、ログの統合監視、リアルタイムアラートの運用などが含まれます。
MITRE ATT&CK（防御視点からの対照概念）: CAPEC が攻撃パターンを体系化するのに対し、MITRE ATT&CK は攻撃者の手口を体系化する枠組みです。防御の視点からは、攻撃の理解を深めて防御を強化する対照概念として位置づけられます。

capecの共起語

CAPEC: Common Attack Pattern Enumeration and Classification の略。MITREが提供する、攻撃パターンの分類と列挙をまとめた知識ベース。
MITRE: CAPECを含む複数のセキュリティフレームワークを開発・提供する米国の非営利組織。
攻撃パターン: 攻撃者が実際に用いる典型的な手口・技法。CAPECの中心概念。
分類: パターンをカテゴリに分けること。CAPECでは攻撃パターンをカテゴリー別に整理。
タクソノミー: 階層的な分類体系。CAPECの構造を支える概念。
脅威モデリング: システムに対する脅威を特定・評価し、対策設計に活かす方法論。CAPECはこの過程で参照されることが多い。
サイバーセキュリティ: 情報資産を守るための広範な分野。
情報セキュリティ: 情報資産の機密性・完全性・可用性を保護する考え方・実践。
CWE: Common Weakness Enumeration。ソフトウェアの欠陥・弱点を分類する体系。CAPECと連携して、攻撃と弱点の関係を理解するのに役立つ。
OWASP: Open Web Application Security Project。ウェブアプリのセキュリティを高める資料・ツールを提供する団体。
攻撃経路: 攻撃が進む道筋・ルート。
攻撃ベクトル: 攻撃の具体的な実行手段・経路。
攻撃面: 攻撃を受けやすい領域・表現。
脆弱性: ソフトウェアやシステムの欠陥・弱点。
緩和策: リスクを低減する具体的な対策。
対策: 防御・対処の総称。
セキュリティコントロール: 組織が採用する防御手段・方針。
リスク評価: リスクの大きさ・影響を評価する過程。
リスク管理: 識別・評価・対応を包含するリスクの統治過程。
ペネトレーションテスト: 実戦に近い攻撃を模倣して防御を評価する検査。
レッドチーム: 攻撃者視点で防御を試す演習を行うチーム。
ブルーチーム: 防御を担当するチーム、検知・対応を実行。
脅威情報: 新たな攻撃手口・脅威に関する情報の収集・分析・共有。
セキュリティ枠組み: 組織全体のセキュリティ方針・管理範囲の枠組み。
NIST: 米国の標準化機関。セキュリティのガイドライン・フレームワークを提供。
ISO27001: 情報セキュリティマネジメントの国際規格。
CAPEC ID: CAPECの各パターンに割り当てられた識別番号（例: CAPEC-63）。
データ整合性: データが正確で一貫している状態。
入力検証: 入力データを検査・不正な入力を排除する防御。
認証: 利用者・システムの身元を確認する手続き。
認可: 認証済み主体に対して適切な権限を付与・制御する管理。
SQLインジェクション: データベースに対する不正なSQLの挿入・実行による攻撃。
クロスサイトスクリプティング: ウェブページに悪意のスクリプトを挿入させて実行させる攻撃。
攻撃種別: 攻撃のカテゴリ分け。CAPECの枠組みと関連づけられる概念。
セキュリティアーキテクチャ: 組織の防御設計・構造全体。
MITRE ATT&CK: MITREが提供する別の攻撃手口分類フレームワーク。CAPECと併用されることが多い。
CAPECデータベース: CAPECの全パターンを検索・参照できるデータベース。
知識ベース: 技術用語・事例などの知識を蓄積したデータベース。
パターンライブラリ: 攻撃パターンを収集・提供するライブラリ。
例: 具体的なケースや事例の紹介。

capecの関連用語

CAPEC: Common Attack Pattern Enumeration and Classification の略。MITREが提供する、攻撃者が用いる再現性のある攻撃パターンを体系的に分類・列挙したデータベース。防御設計や脅威分析の基礎として活用されます。
Attack Pattern: CAPECで定義される個別の攻撃の“手口”。特定の狙いと技術を組み合わせた再現性のある攻撃の具体例です。
MITRE: 米国の非営利団体。CAPECやATT&CK、CWEなどの標準・データベースを提供します。
CWE: Common Weakness Enumeration の略。ソフトウェアの欠陥（脆弱性ではなく、欠陥の種類）を分類する辞典。CAPECと組み合わせて脅威と弱点の関係を分析します。
CVE: Common Vulnerabilities and Exposures の略。特定の脆弱性に対する一意識別子を付与する共通識別子。CAPECと併せて脅威情報を整理する際に使われます。
CVSS: Common Vulnerability Scoring System の略。脆弱性の深刻度を数値化して評価する指標です。
ATT&CK: MITREが提供する、攻撃者の戦術・技術・手口を体系化した知識ベース。CAPECと補完的に用いられ、防御設計・検知の設計に役立ちます。
Tactics: ATT&CKの大分類。攻撃者が達成しようとする高レベルの目的（例：初期アクセス、権限昇格など）を示します。
Techniques: ATT&CKの個別の手口。実際の技術や方法を具体化した項目です。
Threat Modeling: 脅威モデリングのこと。設計時に潜在的な攻撃を洗い出すプロセスで、CAPECはその参照元として活用されます。
Threat Intelligence: 脅威情報。CAPECは攻撃パターンの集約情報として脅威知識の整理に役立つことがあります。
Attack Vector: 攻撃が向かう入口・経路（例：ネットワーク、人間の要因、物理的なアクセス）。CAPECのパターンがどのベクトルに適用されるかを整理します。
Exploitation: 脆弱性を実際に悪用する行為・手口。CAPECのパターンと結びつけて理解します。
Vulnerability: 脆弱性。CAPECの攻撃パターンは脆弱性を露呈させる手口として表現されることがあります。
Attack Surface: 攻撃の対象となる領域全体。CAPECを用いて露出箇所を洗い出し対策を設計します。
Mitigation: 緩和策・対策。CAPECのパターンを理解して防御を講じる際の指針になります。
Pattern Catalog: パターンカタログ。CAPECに収録されている攻撃パターンの一覧です。
CAPEC Version: CAPECのバージョン。仕様の更新履歴を指します。
CAPEC Categories: CAPECのカテゴリ分け。似た種類のパターンをグルーピングした分類です。
OWASP: Open Web Application Security Project の略。ウェブアプリのセキュリティを向上させる情報源。CAPECと併せて脅威分析に使われます。
STRIDE: 脅威モデリングのフレームワークの一つ。Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege の頭文字をとったもの。CAPECと合わせて設計時のリスクを洗い出します。
NIST: 米国の標準化機関。セキュリティガイドラインやフレームワークを提供します。CAPECと互換的に脅威分析・設計の参考になります。