脆弱性
CVE(共通脆弱性識別子)
別称: CVE ID, CVE レコード
定義
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
CVE は米国 CISA の支援を受けて MITRE が運営するプログラムで、公開された脆弱性に対し世界で一意の識別子(例:CVE-2014-0160)を付与します。各エントリには簡潔な説明、関連アドバイザリへの参照、影響を受ける製品の範囲が含まれます。ベンダーや調整センターなどの CVE Numbering Authority(CNA)は、自らの管轄範囲で ID を割り当てることができます。CVE 自体は深刻度を評価せず、CVSS・EPSS・CISA KEV リストと併用されます。セキュリティチームはスキャナ結果・ベンダーパッチ・脅威インテリジェンス・SBOM データを CVE ID で突き合わせ、修復ワークフローを統合します。
例
- CVE-2014-0160(Heartbleed):OpenSSL のハートビート読み取りオーバーフロー。
- CVE-2021-44228(Log4Shell):Log4j の JNDI ルックアップによるリモートコード実行。
関連用語
脆弱性
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
CWE(共通脆弱性タイプ一覧)
脆弱性を生み出す根本的な欠陥カテゴリを分類した、コミュニティ主導のソフトウェア・ハードウェア弱点タイプの分類体系。
CVSS(共通脆弱性評価システム)
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
EPSS(エクスプロイト予測スコアリングシステム)
FIRST が維持するデータ駆動型モデルで、ある CVE が今後 30 日以内に実環境で悪用される確率を推定する。
既知の悪用された脆弱性(KEV)
実環境での悪用が CISA(米国)によって確認され、公開 KEV カタログに追加された CVE。米連邦機関に対する修正期限の対象となる。
CVE Numbering Authority (CNA)
CVE Numbering Authority (CNA) — definition coming soon.