CVE (Common Vulnerabilities and Exposures)

セキュリティ事業部

CVE (Common Vulnerabilities and Exposures)

CVEは、共通脆弱性識別子とも呼ばれ、一般に公開されたサイバーセキュリティの脆弱性に対する共通の識別子です。脆弱性は標準化された方法で記述され、一つ脆弱性に対して一つの識別子がCNA (CVE Numbering Authorities)によって割り当てられます。従い、ソフトウェアやファームウェアの脆弱性について議論する場合などにおいて、同一の脆弱性情報を共有していることが保証されます。また、CVEにより、脆弱性のツール評価におけるベースラインが提供され、データ交換の自動化も容易となります。

CVEは、米国の非営利団体MITRE社により提案されたもので、”CVE-西暦-連番” (例: CVE-2019-1234)の形式で表されます。MITRE社のサイト[1]で、CVEの検索やリストのダウンロードを行うことが可能です。一方、日本では、IPA (Information technology Promotion Agency)が、脆弱性情報をJVN (Japan Vulnerability Note)[2]やJVN iPedia (JVNDB)[3]で管理しています。これらはCVEと連携しており、対応するCVEの識別子が記載されています。JVNは、早期警戒パートナーシップに基づいて早期に脆弱性情報を通知する目的であるのに対し、JVNDBは、広い範囲で脆弱性情報を収集して蓄積する目的で運用されています。

[1] https://cve.mitre.org/
[2] http://jvn.jp/
[3] https://jvndb.jvn.jp/