CVE（Common Vulnerabilities and Exposures）

脆弱性に名前を付ける仕組み

「あの脆弱性」「例の Apache のやつ」――こうした曖昧な指示では、セキュリティ対応は回らない。CVE は、公開された脆弱性に CVE-2024-12345 のような一意の識別番号を割り当てることで、開発者・セキュリティベンダー・運用チーム・規制当局が同じ脆弱性について齟齬なく議論できるようにする国際的な仕組みである。

運営は米国の非営利法人 MITRE が担い、各ベンダーや研究機関が CNA（CVE Numbering Authority）として ID の採番権限を持つ。2024 年時点で CNA は 400 以上の組織に拡大しており、脆弱性の報告から ID 付与までのリードタイムは短縮傾向にある。

CVE-ID の読み方

CVE-YYYY-NNNNN という形式で、YYYY は採番年、NNNNN は連番だ。注意すべきは、採番年は脆弱性の発見年でも公開年でもなく、ID がリザーブされた年である点。採番と公開にタイムラグがあるため、2023 年に予約された CVE が 2024 年に詳細公開されることも珍しくない。

CVE-ID 自体には深刻度の情報は含まれない。深刻度を示すのは CVSS（Common Vulnerability Scoring System）スコアであり、NVD（National Vulnerability Database）が CVE に対して CVSS スコアを付与・公開している。OWASP Top 10 のようなカテゴリ分類とは異なり、CVE は個別の脆弱性インスタンスを指す点が特徴だ。

CyberGym や AI スキャンとの関係

CyberGym は既知の CVE を題材に AI モデルの攻撃再現能力を測定するベンチマークであり、CVE データベースはその評価基盤として不可欠だ。一方、Project Glasswing で Claude Mythos が発見した脆弱性は、まだ CVE-ID が付与されていないゼロデイ脆弱性であり、Responsible Disclosure を経て初めて CVE として登録される。

SBOM と CVE の組み合わせは実務上きわめて強力だ。SBOM で自社プロダクトの全依存関係を把握し、新規 CVE が公開されるたびに照合すれば、「うちのプロダクトにこの脆弱性は影響するか？」という問いに分単位で回答できる。サプライチェーン攻撃への初動対応で、この速度差は致命的な違いを生む。