CVE（共通脆弱性識別子）とは何ですか？

公開された脆弱性に一意の識別番号を付与する仕組み。世界中で共通の「脆弱性の名前」として使われる。

CVE（共通脆弱性識別子）のポイントは？

Common Vulnerabilities and Exposuresの略。CVE-2024-12345のような形式で番号が付与される。MITRE社が管理し、NVD（National Vulnerability Database）と連携。脆弱性の深刻度はCVSSスコアで評価される

【しーぶいいー】

💡 脆弱性に「共通の名札」をつける世界標準

📌 このページのポイント

CVEのイメージ

ひよこ

CVE番号ってどう読むの？

ペンギン先生

CVE-2024-12345なら「2024年に登録された12345番目の脆弱性」だよ。ニュースで「CVE-2021-44228（Log4Shell）が深刻」と報道されたら、この番号で詳細を検索できる。世界中のセキュリティツールやパッチ情報が同じ番号で紐付いているんだ

ひよこ

誰がCVE番号を発行するの？

ペンギン先生

CNA（CVE Numbering Authority）と呼ばれる認定機関が発行するよ。Microsoft、Google、Red Hatなどの大手ベンダーはCNAになっていて、自社製品の脆弱性にCVE番号を付与できる。日本ではJPCERT/CCやIPA がCNAとして活動しているんだ

ひよこ

CVSSとの関係は？

ペンギン先生

CVEが「脆弱性のID」、CVSSが「脆弱性の深刻度スコア」だよ。CVE-2021-44228のCVSSスコアは10.0（最高値）で「極めて危険」。CVSSスコアを見れば、どの脆弱性を優先的にパッチ適用すべきか判断できるんだ

ひよこ

エンジニアとしてCVEをどう活用すべき？

ペンギン先生

自分が使っているソフトウェアのCVE情報を定期的にチェックすることが基本だよ。NVDやJVN（日本の脆弱性データベース）をウォッチするか、Dependabotのような自動チェックツールを導入する。CVSSスコアが7.0以上の脆弱性は早急にパッチ適用するのが鉄則だね

まとめ：ざっくりこれだけ覚えればOK！

「CVE」って出てきたら「脆弱性につける世界共通のID番号」と思えればだいたいOK！

📖 おまけ：英語の意味

「Common Vulnerabilities and Exposures」＝共通脆弱性識別子

💬 1999年にMITRE社が開始。これができる前は同じ脆弱性を各社がバラバラの名前で呼んでいて混乱していたんだよ