CVE（共通脆弱性識別子）とは何か？

CVEは共通脆弱性識別子の略です。これは、すでに公に知られているサイバーセキュリティの脆弱性を追跡するシステムです。

各CVEレコードには、CVE-2024-492881のようなIDが付与されており、攻撃者がシステムを悪用するために利用できるソフトウェア、ハードウェア、またはファームウェアの特定の弱点を説明しています。

CVEプログラムは、サイバーセキュリティと技術に焦点を当てた米国の連邦資金提供を受けた非営利団体であるMITRE Corporationによって開始されました。今日、MITREはCVEボードの監督の下でCVEシステムを管理し続けています。このグループには、セキュリティ専門家、ベンダー、グローバルな利害関係者が含まれています。世界中の組織、ベンダー、セキュリティツール、研究者がCVEを使用して脆弱性を追跡し、パッチを管理しています。

サイバーセキュリティにおけるCVEの重要性

CVEが登場する前は、研究者や組織は別々の命名スキームに依存しており、異なるツールやレポート間で脆弱性を追跡するのが困難でした。

CVEは次のことを提供することでこの問題を解決します：

• 各脆弱性に対する一貫した識別子
• グローバルセキュリティデータベースへの集中化された可視性
• サイバーセキュリティに関与するベンダー、研究者、組織間のより簡単な協力。

CVEは、脆弱性スキャナー、SCA、ASPM、CVE IDを使用してリスクを検出し優先順位を付けるパッチ管理システムなどのセキュリティツールの基盤を形成します。

CVEはどのように機能しますか？

脆弱性データベースの各CVEレコードには以下が含まれます

• CVE ID - 脆弱性のための一意の識別子
• 説明 - 脆弱性の説明
• 参照 - 脆弱性に関する詳細情報を提供する信頼できる外部ソース
• CVSSスコア - 脆弱性が悪用された場合の深刻さや影響を示す評価。

すべてのCVEはcve.orgで公開されており、またNIST（米国商務省の非規制機関）によって維持されている**国家脆弱性データベース（NVD）**にもミラーリングされています。

既知の脆弱性と未知の脆弱性

既知の脆弱性

セキュリティ組織や研究者が認識しており、脆弱性に対処するためのパッチを提供できる脆弱性。

既知の脆弱性は、しばしばCVEやNVDのようなデータベースにすでに公開されています。

例：

CVE-2017-5638 — **Equifaxのデータ侵害（2017年）**で悪用されたApache Strutsの脆弱性。

未知（ゼロデイ）脆弱性

これらは未発見または未公開の欠陥であり、ソフトウェアに存在するがCVEデータベースにまだ文書化されていないものです。

攻撃者は、ベンダーがパッチをリリースする前にそれらを悪用することができます。これは非常に危険な欠陥です。

例：

GoogleやMicrosoftが修正をリリースする前に攻撃者が使用するブラウザの脆弱性。

関連用語

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• ゼロデイ脆弱性
• エクスプロイト
• パッチ管理
• 脆弱性管理
• 共通脆弱性タイプ一覧 (CWE)

FAQ: CVE