CVE(Common Vulnerabilities and Exposures)
CVEとは、公開されたソフトウェアの脆弱性に対して一意の識別番号(CVE-ID)を付与する国際的な命名規則であり、セキュリティ関係者が脆弱性を正確に参照するための共通言語として機能する。
脆弱性に名前を付ける仕組み
「あの脆弱性」「例の Apache のやつ」――こうした曖昧な指示では、セキュリティ対応は回らない。CVE は、公開された脆弱性に CVE-2024-12345 のような一意の識別番号を割り当てることで、開発者・セキュリティベンダー・運用チーム・規制当局が同じ脆弱性について齟齬なく議論できるようにする国際的な仕組みである。
運営は米国の非営利法人 MITRE が担い、各ベンダーや研究機関が CNA(CVE Numbering Authority)として ID の採番権限を持つ。2024 年時点で CNA は 400 以上の組織に拡大しており、脆弱性の報告から ID 付与までのリードタイムは短縮傾向にある。
CVE-ID の読み方
CVE-YYYY-NNNNN という形式で、YYYY は採番年、NNNNN は連番だ。注意すべきは、採番年は脆弱性の発見年でも公開年でもなく、ID がリザーブされた年である点。採番と公開にタイムラグがあるため、2023 年に予約された CVE が 2024 年に詳細公開されることも珍しくない。
CVE-ID 自体には深刻度の情報は含まれない。深刻度を示すのは CVSS(Common Vulnerability Scoring System)スコアであり、NVD(National Vulnerability Database)が CVE に対して CVSS スコアを付与・公開している。OWASP Top 10 のようなカテゴリ分類とは異なり、CVE は個別の脆弱性インスタンスを指す点が特徴だ。
CyberGym や AI スキャンとの関係
CyberGym は既知の CVE を題材に AI モデルの攻撃再現能力を測定するベンチマークであり、CVE データベースはその評価基盤として不可欠だ。一方、Project Glasswing で Claude Mythos が発見した脆弱性は、まだ CVE-ID が付与されていないゼロデイ脆弱性であり、Responsible Disclosure を経て初めて CVE として登録される。
SBOM と CVE の組み合わせは実務上きわめて強力だ。SBOM で自社プロダクトの全依存関係を把握し、新規 CVE が公開されるたびに照合すれば、「うちのプロダクトにこの脆弱性は影響するか?」という問いに分単位で回答できる。サプライチェーン攻撃への初動対応で、この速度差は致命的な違いを生む。
関連する用語
A2A(Agent-to-Agent Protocol)
A2A(Agent-to-Agent Protocol)とは、異なる AI エージェント同士が能力の発見・タスクの委譲・状態の同期を行うための通信プロトコルであり、Google が 2025 年 4 月に公開した。
AES-256
AES-256 とは、米国国立標準技術研究所(NIST)が標準化した共通鍵暗号方式 AES(Advanced Encryption Standard)のうち、鍵長 256 ビットを使用する最高強度の暗号アルゴリズムである。
Agent Skills
Agent Skills とは、AI エージェントに特定のタスクや専門知識を実行させるために定義された再利用可能な命令セットであり、エージェントの能力を拡張するモジュール単位として機能する。
