CVE(共通脆弱性識別子).

CVE は 1999 年に MITRE が立ち上げ、米国の CISA/DHS が連邦予算で支援するプログラムで、公開された脆弱性に対して世界で一意の識別子(例:CVE-2014-0160)を発行します。各エントリには簡潔な説明、関連アドバイザリへの参照、影響を受ける製品の範囲が含まれます。ID の割り当ては数百に及ぶ CVE Numbering Authority(CNA)(ベンダー、オープンソースプロジェクト、調整センターなど)に分散されており、それぞれが自らの管轄範囲内で ID を割り当てます。

CVE 自体は深刻度を評価しません。CVSS、EPSS、CISA KEV リストがその上に重ねて用いられます。多くの人が見落としがちな実務上の細部として、ID の構文は 2015 年 1 月から変更されました。従来の CVE-YYYY-NNNN 形式は 1 年あたり 9,999 件で上限に達していたため、現在では任意の桁数の番号が許容されています(そのため CVE-2021-44228 のような番号が存在します)。レコードは cve.org の CVE Services を通じて JSON 形式で公開され、従来のテキスト形式の「CVE List」に取って代わりました。

このプログラムの脆さは 2025 年 4 月に露呈しました。MITRE は DHS との契約が同月 16 日に失効すると警告しましたが、CISA が土壇場で 11 か月の延長を行い、2026 年 1 月までに委員会はそれ以上の「資金断絶(funding cliff)」はないと報告しました。セキュリティチームは CVE ID を用いて、スキャナの出力、ベンダーのパッチ、脅威インテリジェンス、SBOM データを単一の修復ワークフローに突き合わせます。

flowchart LR
  R[研究者またはベンダーが欠陥を発見] --> C[CNA が CVE ID を予約]
  C --> P[cve.org に CVE レコードを公開]
  P --> N[NVD と CVSS による情報拡充]
  N --> E[EPSS スコアと CISA KEV の確認]
  E --> D[防御側が優先順位付けしパッチ適用]