CVE(Common Vulnerabilities and Exposures)

 2021.03.23  株式会社ジェイピー・セキュア

セキュリティに携わっていると「CVE」という用語を見聞きすることが多いのではないでしょうか?「CVE」とは何なのか、本稿では「CVE」について解説します。

CVEとは

CVEとは、Common Vulnerabilities and Exposuresの略称で、ソフトウェアの脆弱性を対象にして「CVE ID:CVE-西暦-連番」でナンバリングし、リスト化したもののことです。

CVEは、情報セキュリティをはじめとしたIT技術の専門家が、セキュリティをより強固なものにする際に役立ちます。共通脆弱性識別子として、各専門家はCVEを参照し、システムの開発や導入の際はもちろんのこと、運用フェーズにおいても脆弱性情報の収集や対策の徹底に活用することができます。

CVEの仕組み

CVEを管理しているのは、米国政府の支援を受けた非営利団体のMITRE社です。アメリカには、インフラストラクチャ・セキュリティ庁という機関があります。これは米国国土安全保障省に所属する機関の一つで、MITRE社はインフラストラクチャ・セキュリティ庁の支援を受けてCVEを管理しています。

CVEには、脆弱性の詳細情報(影響や修正方法など)は含まれず、あくまでそれぞれの脆弱性の識別子としての役割を果たします。付与されたCVE IDは、脆弱性情報データベースやサービスなどで共通のものとして扱うことで、ID番号によってどのような脆弱性があるのかを識別できるようにしているのです。

CVE IDを付与するのは、CNAと呼ばれる採番機関です。CNAには、セキュリティ企業やリサーチ会社、セキュリティベンダーなどさまざまな組織が所属しています。(MITRE社が採番することもあります。)

CVE互換認定の制度

次に、CVEの互換認定の制度について解説します。

脆弱性検査ツールや脆弱性情報の提供サービスなどが、CVE IDの適切な表示、関連付け、IDを入力したことによる情報の検索といった条件を満たせば、各サービス・ツールの提供元はMITRE社に申請することで、CVE互換認定を受けることができます。

CVE互換制度があれば、あらゆるツール・サービスを利用する際にCVE IDという共通の識別番号をもって脆弱性の情報を把握することができます。ツールごとに脆弱性情報の名前が異なると、同じ脆弱性を指すのか、類似した別の脆弱性を指すのかを把握することが困難になります。

CVE IDという共通識別子が生まれ、その互換認定制度が始まったことで、脆弱性情報の混同や錯綜が起こりにくくなりました。また、各セキュリティサービス・ツールは、その機能や実用性を発揮しやすくなったといえます。

CVE互換認定に必要なこと

各セキュリティサービス・ツールがMITRE社から互換認定を受けるためには、以下の要件をすべて満たす必要があります。1つでも欠けていると互換認定を受けられず、サービス・ツール提供元は対外的にそれをアピールすることができません。

  • ID検索:CVE IDでユーザーが脆弱性情報を調べることができる
  • 表示:脆弱性の情報を表示する際に、関連するCVE名を含ませる
  • 関連付け:脆弱性の情報には該当するCVE IDを適切に関連付ける
  • 整備:CVEに関連する機能を実現させる方法の文書を整える
  • 更新日:CVE IDとの関連付けについて更新日を明らかにする

5つの条件を満たせば、MITRE社にCVE互換認定を申請することができ、認定されれば、CVE互換認定を受けていることを公示することができます。

CVEによる脆弱性対策の取り組みにおいて、脆弱性対策情報の相互参照や関連付けが適切に運用、連携されていることは非常に重要であり、それを保証する枠組みとして、CVE互換の認定制度が果たす役割も大きなものであるといえます。

おわりに

セキュリティに関わっていると、さまざまな用語が登場します。今回は、「脆弱性対策の重要性は分かったけど、用語が多いし難しい」といった方々を対象に、脆弱性の共通識別子であるCVEについて解説しました。

セキュリティ対策の強化、取り組みのため、製品や機能の知識だけでなく、必要な用語や制度の概要なども理解するようにしましょう。


RECENT POST「用語」の最新記事


CVE(Common Vulnerabilities and Exposures)