CVEとは？脆弱性管理の基礎とメリットを解説

CVEとはなにか？

CVE（Common Vulnerabilities and Exposures）は、個別製品中の脆弱性を一意に識別するための仕組みです。これは、米国政府の支援を受けた非営利団体であるMITRE社によって提案され、現在では広く普及しています。

CVEは1999年、アメリカのパーデュー大学で開催された第2回「セキュリティ脆弱性データベースに関するワークショップ」で初めて提案され、米国政府が推進する情報セキュリティ標準「SCAP (Security Content Automation Protocol)」※1の一部として位置付けられました。

※1 SCAP (Security Content Automation Protocol)：NIST (National Institute of Standards and Technology) によって仕様が策定されたセキュリティポリシーの規格群。

日本では、情報処理推進機構（IPA）が運営するJVN（Japan Vulnerability Notes）がMITRE社と協力し、日本国内の脆弱性情報の一部を提供しています。JVNは、日本コンピュータ緊急対応チーム調整センター（JPCERT/CC）とIPAが共同で運営する脆弱性データベースです。

CVEの互換性認定制度

CVEには互換性認定制度があります。脆弱性関連ツールやサービスがCVEの要件を満たす場合、MITRE社から認定を受けることができます。認定を受けることで、MITRE社のウェブサイトで紹介される、CVEのロゴが使用できるなどのメリットがあり、日本国内のJVNやMyJVNも2010年にCVE互換認定を取得しています。

このように、CVEは脆弱性管理における標準的な仕組みとして、セキュリティ対策に携わる多くの組織や企業に活用されています。

CVEが必要とされた背景

CVEが導入された背景には、インターネットの普及やシステム利用の増加に伴う多様な脆弱性の報告機会の増加があります。これにより、情報共有と管理の効率化が求められるようになりました。
以下の3つが主な必要性として挙げられます。

脆弱性の標準化と識別のため

CVEが導入される以前は、脆弱性情報が一元化されていないため、危険性や優先度の判断が難しく、正しいセキュリティ対策が行えませんでした。CVE識別番号によって、脆弱性情報が標準化され、影響を受けるシステムやアプリケーションを明確化し、効率的な対応が可能になりました。

セキュリティ対応の一元化のため

各国や組織が独自の番号を採番していたため、同じ脆弱性であることが判別できない問題がありました。CVEは共通番号を用いることで、組織間や国間で情報共有や連携を迅速化し、混乱や重複を防ぎました。

迅速な対応を行うため

CVEによって脆弱性情報を迅速に得ることができるため、企業や開発者は攻撃者が脆弱性を悪用する前に、迅速にパッチを提供しリスクを最小限に抑えられるようになりました。

CVEの仕組み

CVEは、個別の脆弱性に対してCVE採番機関（CNA）※2が一意のID「CVE識別番号」を付与することで、各組織が発行する脆弱性対策情報を相互に関連付けられるようにします。CVE識別番号は毎年数千単位で生成され、複雑な製品では1製品に数百もの識別番号が付与されることもあります。

※2 CNA（CVE Numbering Authority）

CVE 採番機関 (CNA)とは

現在、約100のCNAが存在し、Red Hat、IBM、Cisco、Oracle、Microsoftなどの主要ITベンダーを含む多くのセキュリティ企業やリサーチ組織が含まれています。また、MITRE社が直接CVEを発行する場合もあります。

脆弱性が報告される手段

脆弱性は、企業や研究者からの報告、またはユーザーが欠陥を発見して通報することで登録されます。多くの企業では、脆弱性をいち早く報告してもらうための「バグ報奨金制度（バグバウンティ）」を設け、報告者に金銭的報酬を支払うことで脆弱性の早期発見・修正を促しています。

CVEが対象とする脆弱性基準

では、どういった脆弱性が登録されているのでしょうか？
CVEが対象とする脆弱性では、以下の基準を満たす必要があります。

1.完全公開されていること

CVE識別子と呼ばれる脆弱性を判別する識別子は、情報共有を目的として全公開された脆弱性にのみ付与されます。非公開の脆弱性には識別子は割り当てられません。

2.セキュリティ上の問題を含んでいること

CVE識別子は、システムの安全性や信用性を脅かすセキュリティ上の問題を含む脆弱性にのみ割り当てられます。

3.特定の製品やシステムに存在すること

CVE識別子は、特定の製品やシステムの脆弱性にのみ割り当てられ、対応策を共有するための追跡ツールとして使用されます。一般的な脆弱性には識別子は付与されません。

これらの条件を満たしているものには、CVE識別番号が採番されます。

CVE識別番号について

CVE識別番号（CVE IDとも呼ばれる）とは上記の基準を満たし、報告されたものに対して採番され、CVE識別番号管理サイトで掲載されています。
CVE識別番号は、「CVE-年-番号」の形式で表され、例えば、CVE-2023-1234は2023年に公となった1234番目の脆弱性を表します。CVE識別番号は、セキュリティ専門家が情報を共有し、適切な対策を講じるための重要なツールで以下のような項目が確認できます。

脆弱性の概要

CVE識別番号に関連する脆弱性の説明。そのプログラムが内包する「プログラムのセキュリティ上の問題」がどのような種類のものであるかが記載されています。

参考URL

CVE識別番号に関連する脆弱性情報の一覧には、CVE情報提供サイトや製品開発ベンダーサイトのURLなどがまとめられています。

ステータス

CVE識別番号の進捗には、「候補(Candidate)」と「登録(Entry)」の二段階があります（まれに誤報などで「REJECT」される場合もあります）。
「候補(Candidate)」は、そのCVE識別番号が脆弱性として認定されるかどうかを審査中であることを示します。
一方、「登録(Entry)」は、CVE識別番号が正式に承認され、報告された内容が脆弱性であると確定された状態を示します。

CVE識別子について

CVE識別子は、特定の脆弱性をユニークに識別するために用いられます。これにより、セキュリティの専門家や担当者が特定の脆弱性に関する情報を共有しやすくなります。
さらに、脆弱性に対する理解を深め、適切な対策を講じることも可能になります。
また、CVE識別子は、脆弱性の深刻さを評価する際の参照情報ともなります（実際の深刻度の点数化にはCVSS※3などが用いられます）。

※3 CVSS（Common Vulnerability Scoring System）：情報技術における脆弱性の重大度を評価し、標準化されたスコアを提供するシステム。

CVE互換とは

CVEを活用した脆弱性対策を推進する際には、脆弱性情報の相互参照や関連付けを正確に把握することが重要となります。
そのため、CVEを基盤として使用する侵入検知ツールや脆弱性検査ツール、情報提供サービスなどが適切に機能することを保証するために「CVE互換」という認定制度が設けられています。

CVE互換認定制度について

CVE互換認定制度では、脆弱性管理ツールやセキュリティ関連サービスがCVE識別番号の表示や検索、関連付けの要件を満たすことで、MITRE社から認定を受けることができます。この制度により、脆弱性情報の混同が解消され、セキュリティサービスの機能と実用性が向上しました。

まとめ

CVEは、サイバーセキュリティにおける脆弱性管理を標準化するための重要な仕組みです。脆弱性を一意の識別番号で管理することで、国や組織、ツール間での情報共有が効率化され、迅速かつ適切な対応が可能になりました。脆弱性の特定から修正、影響範囲の把握までをスムーズに行うことができるため、リスクを最小限に抑えることができます。

しかし、急速に進化するサイバー攻撃に対抗するには、CVEによる脆弱性管理だけでは不十分な場合があります。近年では、脆弱性の管理に加え、攻撃対象領域を可視化し、リスクを予測・制御するASM（Attack Surface Management）が注目されています。ASMは、従来の脆弱性管理を補完し、より包括的なセキュリティ対策を可能にします。

今後のセキュリティ戦略では、CVEを活用した脆弱性管理に加え、ASMを導入して攻撃対象領域を可視化することが重要です。これにより、攻撃者に狙われる前にリスクを把握し、セキュリティ体制を強化することが期待できます。