CVE（共通脆弱性識別子）とは何か？

CVEは共通脆弱性識別子の略です。これは、すでに公に知られているサイバーセキュリティの脆弱性を追跡するシステムです。

各CVEレコードには、CVE-2024-492881のようなIDが付与されており、攻撃者がシステムを悪用するために利用できるソフトウェア、ハードウェア、またはファームウェアの特定の弱点を説明しています。

CVEプログラムは、サイバーセキュリティと技術に焦点を当てた米国の連邦資金提供を受けた非営利団体であるMITRE Corporationによって開始されました。今日、MITREはCVEボードの監督の下でCVEシステムを管理し続けています。このボードには、セキュリティ専門家、ベンダー、グローバルな利害関係者が含まれています。世界中の組織、ベンダー、セキュリティツール、研究者がCVEを使用して脆弱性を追跡し、パッチを管理しています。

サイバーセキュリティにおけるCVEの重要性

CVE以前は、研究者や組織は別々の命名スキームに依存しており、異なるツールやレポート間で脆弱性を追跡することが困難でした。

CVEは次のことを提供することでこの問題を解決します：

• 各脆弱性に対する一貫した識別子
• グローバルなセキュリティデータベースへの集中化された可視性
• サイバーセキュリティに関与するベンダー、研究者、組織間の容易な協力

CVEは、脆弱性スキャナー、SCA、ASPM、パッチ管理システムなどのセキュリティツールの基盤を形成し、これらのツールはCVE IDを使用してリスクを検出し、優先順位を付けます。

CVEの仕組み

脆弱性データベースの各CVEレコードには以下が含まれます。

• CVE ID - 脆弱性の一意の識別子
• 説明 - 脆弱性の説明
• 参照 - 脆弱性に関する詳細情報を提供する信頼できる外部ソース
• CVSSスコア - 深刻度評価、脆弱性が悪用された場合の深刻さや影響を示す評価

すべてのCVEはhttps://www.cve.org/で公開されており、また、米国商務省の非規制機関であるNIST（国立標準技術研究所）が管理する**National Vulnerability Database (NVD)**にもミラーされています。

既知の脆弱性と未知の脆弱性

既知の脆弱性

セキュリティ組織や研究者が認識しており、脆弱性に対処するためのパッチを提供できる脆弱性。

既知の脆弱性は、しばしばCVEやNVDのようなデータベースに既に公開されています。

例:

CVE-2017-5638 — **Equifaxのデータ漏洩（2017年）**で悪用されたApache Strutsの脆弱性。

未知（ゼロデイ）脆弱性

未発見または未公開の欠陥で、ソフトウェアに存在するがCVEデータベースにまだ文書化されていないもの。

攻撃者はベンダーがパッチをリリースする前にそれを悪用することができます。これは非常に危険な欠陥です。

例:

GoogleやMicrosoftが修正をリリースする前に攻撃者が使用するブラウザの脆弱性。

関連用語

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• ゼロデイ脆弱性
• エクスプロイト
• パッチ管理
• 脆弱性管理
• 共通脆弱性タイプ一覧 (CWE)

FAQ: CVE