// シス担のミカタ
脆弱性管理

CVE(Common Vulnerabilities and Exposures) しーぶいいー

脆弱性セキュリティCVSSスコアNVDパッチ管理脆弱性データベース
CVEについて教えて

簡単に言うとこんな感じ!

ソフトウェアのセキュリティ上の欠陥(脆弱性)に「世界共通の整理番号」を振る仕組みだよ!「CVE-2024-1234」みたいな番号で、どのシステムのどんな穴なのかを一意に識別できるんだ。世界中のセキュリティ担当者が同じ番号を使って話せるので、混乱なく対応できる!

CVEとは

CVE(Common Vulnerabilities and Exposures) とは、ソフトウェアやハードウェアに発見されたセキュリティ上の脆弱性(欠弱性)を世界共通の識別番号で管理するための仕組みです。米国の非営利組織 MITRE Corporation が運営し、米国政府の支援を受けて1999年から運用されています。

脆弱性が発見されると「CVE-2024-12345」のような一意の識別子(CVE ID)が付与されます。これにより、セキュリティベンダー・ソフトウェアメーカー・システム管理者が 同じ「名前」で同じ脆弱性を指し示せる ようになります。たとえば「Windowsの◯◯の脆弱性」という曖昧な表現ではなく、「CVE-2024-XXXXX」という番号で会話ができるため、パッチ適用やリスク評価の連携がスムーズになります。

発注者・管理者の立場から見ると、ベンダーから「この製品は最新CVEに対応済みです」と説明されたとき、CVEを理解していれば何が保護されているのかを具体的に確認できるようになります。システム選定・保守契約の判断材料 としても重要な概念です。

CVE IDの構造と読み方

CVE IDは以下の形式で構成されています。

CVE - 年 - 連番
 │     │     └─ その年に割り当てられた連番(4桁以上)
 │     └─────── 脆弱性が割り当てられた年
 └───────────── 常に "CVE" で始まる

具体的な読み方の例

CVE ID意味の読み取り方
CVE-2021-442282021年に登録された Log4Shell(Log4j の重大脆弱性)
CVE-2024-217622024年に登録された FortiOS の脆弱性
CVE-2023-233972023年に登録された Microsoft Outlook の脆弱性

CVEの登録から対応までのライフサイクル

フェーズ内容
発見・報告セキュリティ研究者やベンダーが脆弱性を発見・報告
CNA割当CVE Numbering Authority(CNA)がCVE IDを仮割当
公開修正パッチ公開等のタイミングでCVEとして正式公開
評価NVD(後述)がCVSSスコアなどの詳細情報を付加
対応システム管理者がパッチ適用・回避策を実施

深刻度の目安:CVSSスコアとの関係

CVEには単体でスコアは含まれませんが、CVSS(Common Vulnerability Scoring System) という別の仕組みで深刻度が0〜10のスコアで評価されます。

CVSSスコア深刻度対応の目安
9.0〜10.0Critical(緊急)即時対応が必要
7.0〜8.9High(重大)優先対応
4.0〜6.9Medium(中程度)計画的に対応
0.1〜3.9Low(低)リスク受容も検討可
0.0None実質的な影響なし

歴史と背景

  • 1999年 — MITRE Corporationが米国政府(DARPA)の支援を受けてCVEの運用を開始。当初は321件の脆弱性エントリでスタート
  • 2000年代前半 — セキュリティベンダー各社が自社の脆弱性データベースにCVE IDを採用し始め、業界標準として定着
  • 2005年NVD(National Vulnerability Database)が米国NIST(国立標準技術研究所)によって開設。CVEをベースにCVSSスコアや関連情報を補完するデータベースとして機能開始
  • 2014年 — CVE IDの連番部分が4桁から桁数可変に拡張。増加する脆弱性件数に対応
  • 2016年 — CNA(CVE Numbering Authority)制度が拡大。MicrosoftやGoogleなど主要ベンダーが自社製品のCVE IDを直接発行できるように
  • 2021年 — Log4Shell(CVE-2021-44228)の公開により、CVEが一般ニュースでも取り上げられるほど社会的注目度が上昇
  • 2024年現在 — 年間2万件超のCVEが登録される規模に成長。CNAは400組織以上に拡大

CVEを取り巻くエコシステム

CVE単体ではなく、周辺の仕組みと組み合わせて使われます。

CVEエコシステム全体像 CVE 脆弱性の識別番号 (MITRE管理) MITRE Corporation CVEの運営・管理機関 NVD CVSSスコア・詳細情報 (NIST管理) CNA CVE番号割当機関 (各ベンダー等) セキュリティ担当者 パッチ適用・リスク評価 脆弱性スキャナー Tenable / Qualys 等 管理・運営 情報補完 番号割当 参照・対応 CVEデータ活用

CVEとNVDの違い

比較項目CVENVD
運営組織MITRE CorporationNIST(米国標準技術研究所)
主な役割脆弱性への識別番号付与CVEに詳細情報・スコアを付加
CVSSスコア含まない含む
参照URLcve.orgnvd.nist.gov
日本語情報なしJVN iPedia(日本語版相当)

日本における活用:JVN iPedia

日本では JVN iPedia(情報処理推進機構・IPAが運営)がNVDのCVE情報を日本語で提供しています。日本語で脆弱性情報を確認したい場合は jvndb.jvn.jp が窓口になります。

関連する規格・RFC

規格・番号内容
CVE List(cve.org)MITRE運営の公式CVEデータベース
NVD(nvd.nist.gov)NISTによるCVE拡張データベース(CVSS付き)
NIST SP 800-40パッチ管理プログラムのガイドライン(CVE活用を含む)

関連用語

  • CVSS — CVEに付与される脆弱性の深刻度スコアリング方式(0〜10点)
  • NVD — CVEにCVSSスコア等を付加した米国NISTの脆弱性データベース
  • 脆弱性スキャン — システムに存在するCVEを自動検出するツール・手法
  • パッチ管理 — CVEへの対応としてソフトウェアを修正・更新するプロセス
  • ゼロデイ脆弱性 — CVE登録前または修正前に悪用される脆弱性
  • CSIRT — セキュリティインシデント対応チーム。CVE情報をもとに対応を指揮
  • JVN — 日本の脆弱性情報データベース。CVE情報を日本語で提供