CVEとは

この記事は約 2 分で読めます

CVE (Common Vulnerabilities and Exposures) とは、 公開されたセキュリティ脆弱性に一意の識別番号を付与する国際的な命名規則です。 「CVE-2024-12345」のように年号と連番で構成され、 異なるベンダーやツール間で同一の脆弱性を正確に参照できます。 MITRE Corporation が 1999 年に運用を開始し、 2025 年時点で累計 27 万件以上の CVE が登録されており、 年間の新規登録数も増加傾向にあります。

現場での使用例

「CVE-2024-3094 (xz Utils のバックドア) が公開された際、 脆弱性管理チームが SBOM を照合して影響範囲を 2 時間で特定しました。 CVSS スコア 10.0 の Critical 判定だったため、 全サーバーのパッケージを即日ダウングレードしています。」

CVE ライフサイクル

歴史と仕組み

CVE 制度が生まれる以前は、同じ脆弱性に対してベンダーごとに 異なる名称が付けられ、情報共有に混乱が生じていました。 CVE は CNA (CVE Numbering Authority) と呼ばれる認定機関が番号を発行します。 Google、Microsoft、Red Hat などの主要ベンダーは自社製品の CNA として 独自に CVE 番号を割り当てる権限を持っています。 脆弱性の深刻度は CVSS (Common Vulnerability Scoring System) で 0.0〜10.0 のスコアで評価され、9.0 以上は「Critical」に分類されます。脆弱性管理の入門書 (Amazon)で体系的に学べます。

実務での活用

パッチ管理の現場では、 CVE 番号を基準に対応の優先順位を決定します。 CVSS スコアだけでなく、実際に攻撃コード (Exploit) が公開されているか、 自社環境に該当するかを総合的に判断することが重要です。 NVD (National Vulnerability Database) や JVN (Japan Vulnerability Notes) で CVE 情報を定期的に確認し、脅威インテリジェンスと 組み合わせて迅速な対応を実現しましょう。 パスつく.com で生成した強力なパスワードで脆弱性管理ツールへの アクセスを保護し、パッチ適用状況の改ざんを防ぐことも重要です。セキュリティ情報管理の書籍 (Amazon)も参考になります。