CVE（共通脆弱性識別子）とは？

CVE カタログは、CVE データベースというよりも辞書に似ています。脆弱性または曝露ごとに1つの名前と1つの説明が記載されます。そうすることで、異種のツールとデータベース間の通信が可能になり、相互運用性とセキュリティの適用範囲が向上します。CVEは無料または公開でダウンロードして使用できます。CVEリストは、米国国立脆弱性データベース（NVD）にフィードされています。

この組織であるCVEは、「CVEリストと呼ばれる、公に知られているサイバーセキュリティーの脆弱性に関するコミュニティ主導のオープンデータレジストリを維持する、国際的なコミュニティベースの取り組み」です。¹

サイバーセキュリティーにおける基本的な課題の1つは、ハッカーがアプリケーション、システム、データを侵害するためにエクスプロイトする可能性のある脆弱性を特定し、軽減することです。CVEは、組織が脆弱性管理プロセスを改善するために使用できるサイバーセキュリティーの脆弱性をカタログ化および追跡するための標準化されたフレームワークを提供することで、この課題に取り組むのに役立ちます。

CVEシステムは、CVE ID（CVE番号と呼ばれることもある）と呼ばれる一意の識別子を使用して、報告された各脆弱性にラベル付けをします。これにより、効果的なコミュニケーション、コラボレーション、セキュリティ上の欠陥の管理が容易になります。

MITRE Corporationは、ソフトウェアとファームウェアのセキュリティー脆弱性を分類するための参照カタログとして1999年にCVEを作成しました。CVEシステムは、組織がサイバーセキュリティーの脆弱性に関する情報について議論して共有し、脆弱性の重大度を評価し、コンピューター・システムの安全性を高めるのに役立ちます。

CVE編集委員会は、CVEプログラムを監督しています。この委員会には、サイバーセキュリティー関連組織のメンバー、学界、研究機関、政府機関、その他の著名なセキュリティー専門家からのメンバーが含まれています。他のタスクの中で、理事会はデータソース、製品カバレッジ、CVEリストエントリーのカバレッジ目標を承認し、新規エントリーの継続的な割り当てを管理します。¹

米国国土安全保障省（DHS）サイバーセキュリティー・通信局のUS-CERTがこのCVEプログラムの後援を務めています。¹

CVEプログラムでは、脆弱性を「ソフトウェアおよびハードウェアコンポーネントに見られる計算ロジックの弱点であり、悪用されると機密性、完全性、または可用性に悪影響を及ぼす」と定義しています。つまり、脆弱性とは、攻撃者がネットワークやシステムへの不正アクセス、マルウェアのインストール、コードの実行、機密データの盗用や破壊に利用できる、コーディング・エラーなどの弱点を指します。曝露により、そのアクセスが可能になります。

家について考察する：脆弱性とは、泥棒が簡単に開けることができる鍵付きの窓です。曝露とは、誰かが鍵をかけるのを忘れた窓のことです。

CVEとして認定され、CVE識別子（CVE ID）が割り当てられるには、セキュリティー上の欠陥が特定の基準を満たす必要があります。

• 他の脆弱性とは独立して修正可能：その欠陥は、他の脆弱性とは別に修正可能でなければなりません。
  
  
• ベンダーによって承認されているか、脆弱性レポートに文書化されている： ベンダーは、バグが存在し、セキュリティに悪影響を及ぼしていることを認める必要があります。または、バグがセキュリティに悪影響を及ぼし、影響を受けるシステムのセキュリティーポリシーに違反していることを示す脆弱性レポートが必要です。
  
  
• 1つのコードベースに影響する： バグは1つのコードベース（1つの製品）にのみ影響する必要があります。複数の製品に影響を及ぼす欠陥には、製品ごとに個別のCVEが割り当てられます。

CVE Numbering Authority（CNA）は、CVE IDを割り当て、特定の対象範囲内におけるCVEレコードを公開します。MITRE社は編集者および主要なCNAとして機能します。その他のCNAには、主要なオペレーティングシステム（OS）やITベンダー（IBM、Microsoft社、Oracle社を含む）、セキュリティー研究者、その他の認可されたエンティティーが含まれます。CNAは自主的に運営されています。現在、40カ国から389人のCNAが参加しています。²

ルートとは、特定の範囲内でCNAやその他のルートを募集、訓練、統治する権限を与えられた組織です。

トップレベルのルートは最上位のルートであり、「その階層内のルートとCNAを含む、特定の階層の統率と管理」に責任を負います。³現在、CVEプログラムのトップレベルのルートは、MITRE Corporationとアメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁（CISA）の2つがあります。

CVE組織の構造に関する追加情報は、こちらで参照できます。

CVEレポートは誰でも提出できます。脆弱性は、サイバーセキュリティーの研究者、セキュリティー専門家、ソフトウェアベンダー、オープンソースコミュニティのメンバー、および製品ユーザーによって、独立した調査、セキュリティ評価、脆弱性スキャン、インシデント対応活動、または単に製品の使用など、さまざまな手段を通じて発見されることがよくあります。多くの企業は、ソフトウェアにある脆弱性を発見し、責任を持って報告することに対する報酬としてバグ・バウンティーを設けています。

新たな脆弱性が特定され報告されると、その脆弱性は評価のためにCNAに提出されます。その後、新しいCVEが脆弱性用に予約されます。これはCVEレコードの初期状態です。

CNAは、問題の脆弱性を調査した後、影響を与える製品、更新または修正された製品バージョン、脆弱性の種類、その根本原因と影響、および少なくとも1つの公開言及事項を含む詳細を提出します。これらのデータ要素がCVEレコードに追加されると、CNAはそのレコードをCVEリストに公開し、公開します。

その後、CVEのエントリーは公式CVEリストの一部となり、世界中のサイバーセキュリティーの専門家、研究者、ベンダー、ユーザーがアクセスできるようになります。組織はCVE IDを使用して、環境内の脆弱性を追跡および優先順位付けし、特定の脅威に対する曝露を評価し、適切なリスク軽減対策を実施できます。

CVEエントリーには、CVE ID、セキュリティー脆弱性の簡単な説明、脆弱性レポートや勧告などの参照が含まれます。CVE IDは、次の3つの部分で構成されています

1. CVE IDは「CVE」という接頭辞で始まります。
   
   
2. 2番目のセクションは、課題の年です
   
   
3. CVE IDの最後のセクションは連続識別子です

完全なIDは次のようになります：CVE-2024-12345。この標準化されたIDは、異なるプラットフォームやリポジトリー間での一貫性と相互運用性の確保に役立ち、利害関係者は「共通言語」を使用して特定の脆弱性に関する情報を参照し、共有することができます。

CVEレコードは、次の3つの状態のいずれかに関連付けられます。

• 予約済み：これは初期状態で、CVEが公開される前（CNAが脆弱性を調査しているとき）にCVEに割り当てられます。
  
  
• 公開： CNAがCVE IDに関連付けられたデータを収集・入力し、記録を公開した場合です。
  
  
• 拒否：この段階では、CVE IDとレコードを使用しないでください。ただし、拒否されたレコードはCVEリストに残り、IDとレコードが無効であることをユーザーに通知します。
  

組織が脆弱性の重大度を評価する方法の1つは、共通脆弱性評価システム（CVSS）を使用することです。CVSSは、インシデント対応およびセキュリティチームフォーラム（FIRST）によって運営されており、国家脆弱性データベース（NVD）やサイバーセキュリティ緊急対応チーム（CERT）などによって、報告された脆弱性の重大度と影響を評価するために使用される標準化された方法です。CVEのレコード・フォーマットは、CNAがCVEリストにレコードを公開する際に、CVEレコードにCVSSスコアを追加することを可能にします。²

CVSSは、悪用可能性、影響範囲、その他の評価基準に基づいて、脆弱性に0.0から10までの数値スコアを割り当てます。スコアが大きいほど重大性が高まります。このスコアは、組織が特定の脆弱性に対処することの緊急性を判断し、それに応じてリソースを割り当てるのに役立ちます。組織が独自の脆弱性評価システムを使用することも珍しくありません。

CVSSスコアは、脆弱性のさまざまな特性を組み込んだ3つの評価基準グループ（基本、時間、環境）からのスコアに基づいて計算されます。

企業は基本評価基準スコアにほとんど依存しており、米国国立標準技術研究所（NIST）の国立脆弱性データベースに提供されているような公的重大度ランキングは、基本評価基準スコアのみを使用しています。この基本評価基準スコアには、時間の経過とともに変化する脆弱性の特性（一時的なメトリクス）や、ユーザー環境や企業がバグの悪用を防ぐために講じた対策などの現実世界の要因は考慮されていません。

基本評価基準は、攻撃可能性基準と影響基準にさらに分類されています

• 攻撃可能性基準には、攻撃ベクトル、攻撃の複雑さ、必要な権限などの要素が含まれます。
  
  
• 影響基準には、機密性への影響、完全性への影響、可用性への影響が含まれます。⁴

時間的評価基準は、現状の脆弱性を測定し、時間の経過とともに変化する影響の重大度を反映するために使用されます。また、使用可能なパッチなどの修復も組み込まれています。エクスプロイトコードの成熟度、修復レベル、レポートの信頼性はすべて、時間的評価基準スコアの構成要素です。

環境評価基準によって、組織は自らの環境とセキュリティー要件に応じて基本スコアを調整することができます。このスコアは、組織に関連する脆弱性をより明確な文脈に置くのに役立ち、機密性要求スコア、完全性要求スコア、可用性要求スコアが含まれます。これらの評価基準は、特定の環境を測定する修正された基本評価基準（修正された攻撃ベクトルや修正された攻撃の複雑さなど）と共に計算され、環境評価基準のスコアに到達します。

CVEプログラムは、サイバーセキュリティーの脆弱性と識別子を特定し、分類し、対処するための協調的かつ体系的なアプローチを表しています。脆弱性を識別および参照するための標準化されたシステムを提供することで、CVEは、組織がさまざまな方法で脆弱性管理を改善するのに役立ちます。

CVEは既知のサイバーセキュリティーの脆弱性のカタログであり、1つのCVE IDは1つのソフトウェアの欠陥に固有のものです。Common Weakness Enumulation（CWE）とは、バッファー・エラー、認証エラー、CPUの問題など、ハードウェアとソフトウェアの弱点のさまざまなカテゴリーをリストアップするITコミュニティー・プロジェクトのことです。これらの弱点が脆弱性につながる可能性があります。