共通脆弱性識別子
しーぶいいー
共通脆弱性識別子(Common Vulnerabilities and Exposures, CVE)とは、世界中のIT製品やサービスに見つかった既知のセキュリティ上の欠陥(脆弱性)を一意に識別するために割り当てられる標準的な識別子のことである。米国の非営利組織であるMITRE社が管理し、その番号体系は脆弱性情報の共有、データベース間の連携、およびリスクコミュニケーションを劇的に効率化することを目的として設計されている。これにより、組織は特定の脅威に対して迅速かつ正確に対応することが可能となる必須の基盤技術である。
具体的な使用例・シーン
CVE識別子は、セキュリティに関わるあらゆる情報伝達の基礎として機能する。その形式は、CVE-[西暦]-[連番]というシンプルな構造で統一されている。例えば、広範な影響を及ぼしたApache Log4jライブラリの脆弱性は、CVE-2021-44228として識別され、この番号を聞くだけで、セキュリティ専門家はどの製品の、どの深刻な脆弱性であるかを即座に理解できる。
1. ベンダーのセキュリティ勧告: ソフトウェアやハードウェアのベンダーが、自社製品のセキュリティパッチを公開する際、必ず対応するCVE番号を併記する。ユーザー組織のIT部門は、このCVE番号をもとに、自社環境で当該製品が利用されているか、パッチ適用が必要かを判断する。
2. 脅威インテリジェンスと分析: セキュリティリサーチ企業やインテリジェンス機関は、新たな攻撃手法やマルウェアが特定のCVEを利用している場合、その情報をCVE番号と関連付けて発信する。これにより、組織はどの脅威に優先的に対処すべきかを明確に特定できる。
3. 脆弱性スキャンの基盤: 組織のネットワークやシステムを診断する脆弱性スキャナーは、CVE識別子リストと照合することで、発見された欠陥を報告する。レポートには、発見された問題の名称ではなく、標準化されたCVE番号が出力されるため、対応策の調査や他部署への連携がスムーズになる。
4. 法規制への対応: 特定の業界や政府機関によっては、システムが既知のCVEに対応したパッチを適用していることを定期的に監査し、報告することを義務付けている場合がある。CVEは、コンプライアンス遵守の証拠としても利用される。
特徴と管理構造
CVEの最大の特徴は、それが「脆弱性の辞書」として機能し、詳細な技術情報や深刻度評価(スコア)自体は含まない点にある。CVEはあくまで一意の識別子を提供することに特化しており、この分離構造がシステムの柔軟性と拡張性を高めている。
管理構造:CNAシステム
CVEは、前述の通り、MITRE社を中心としつつも、世界中の多様な組織が協力して運用する分散型の採番システム(CNA)によって支えられている。CNAには、Microsoft、Google、Appleといった主要なテクノロジー企業に加え、各国政府のCERT(Computer Emergency Response Team)や独立したセキュリティ研究機関が含まれる。
脆弱性が発見されると、発見者、ベンダー、または研究機関は、関連するCNAに申請を行う。CNAは申請内容を審査し、重複がないことを確認した後、正式なCVE番号を割り当てる。この仕組みにより、脆弱性発見から識別子付与までの時間が短縮され、情報の公開が迅速化される。
ステータス管理
CVE番号が割り当てられた直後、その情報はすぐに公開されるわけではない。ベンダーがパッチを開発するための猶予期間や、情報公開による混乱を防ぐために、CVEは通常、以下のステータスを経る。
- RESERVED(予約済み): 番号は採番されたが、技術的な詳細情報はまだ公開されていない状態。これはパッチ公開と同時に脆弱性情報を公開する「コーディネートされた開示」を可能にするための措置である。
- PUBLISHED(公開済み): 脆弱性の詳細(影響を受ける製品、種類、技術的な説明など)が一般に公開された状態。この段階で、各種データベースやセキュリティ製品が情報を取得し、対応を開始する。
関連する概念
CVEはセキュリティ脆弱性管理エコシステムの中心に位置するが、それ単独では機能せず、他の標準規格と連携することで真価を発揮する。
NVD (National Vulnerability Database)
NVD(米国国家脆弱性データベース)は、米国標準技術局(NIST)が運営する公的なデータベースであり、CVE識別子に紐づく詳細な情報を提供する主要なリポジトリである。CVEが「識別子」であるのに対し、NVDは「詳細情報」を提供する。NVDには、脆弱性の深刻度評価、影響を受けるソフトウェアの具体的なバージョン、回避策、および修正パッチの情報などが集約されており、セキュリティ担当者が対策を講じる際の第一の情報源となる。
CVSS (Common Vulnerability Scoring System)
CVSSは、脆弱性の深刻度を定量的に評価するための標準的な評価システムである。NVDを含む多くのデータベースは、CVEにこのCVSSスコアを付与する。スコアは「0.0(低)」から「10.0(緊急・最高)」までの範囲で示され、脆弱性の悪用難易度、必要な権限、機密性・完全性・可用性への影響など、複数の要因に基づいて計算される。CVSSを使用することで、組織は多数のCVEの中から、最も緊急性が高い(スコアが高い)ものから優先的に対応することができる。
CWE (Common Weakness Enumeration)
CWE(共通脆弱性タイプ一覧)は、CVEとは目的が異なる。CVEが「具体的に発見された欠陥(インスタンス)」を識別するのに対し、CWEは「プログラムの設計上または実装上の一般的な弱点(タイプ)」を分類する。例えば、バッファオーバーフローはCWEに分類される一般的な弱点であり、この弱点に起因して特定製品に具体的なセキュリティホールが見つかった場合、それはCVE番号として登録される。CWEは予防的な開発設計やセキュリティ教育に用いられ、CVEは事後的な対応やパッチ管理に用いられるという棲み分けがある。両者は相互に参照されることで、より深い脆弱性分析を可能にしている。
由来・語源
共通脆弱性識別子(CVE)は、1990年代後半、サイバーセキュリティ分野において、脆弱性情報の命名や管理が混乱していた状況を背景に考案された。当時、各ベンダーやセキュリティ研究機関が発見した脆弱性に対して、それぞれ独自の名称や番号を付与していたため、同一の脆弱性に対する言及であっても、情報源によって指し示す対象が異なるといった非効率性が生じていた。
このような混乱を解消し、情報共有を円滑にするための「共通言語」として、米国の非営利研究開発組織であるMITRE社が1999年にCVEプロジェクトを開始した。CVEという名称は、Common Vulnerabilities and Exposures(共通の脆弱性と露出)の頭文字から取られており、「共通」の識別子を用いることで、世界中の誰もが同じ脆弱性を特定できるようにすることを目標としている。
当初、MITRE社が単独で識別子を付与していたが、脆弱性の発見件数の増加に伴い、世界中の主要なITベンダーやセキュリティ機関、研究機関を「CVE採番機関(CVE Numbering Authority, CNA)」として指名し、採番業務を分散化・標準化している。この分散型のアプローチにより、迅速かつ広範な脆弱性の識別が可能となっている。
使用例
(記述募集中)
関連用語
- (なし)