共通脆弱性識別子(CVE)終了の危機、残り数時間に迫ったところで回避

eSecurity Planetはこのほど、「US Extends CVE Program Support Amid Outcry」において、サイバーセキュリティ業界に走った緊迫の瞬間を伝えた。

○MITREがCVEおよびCWEを終了すると警告

米国政府機関をサイバーセキュリティ分野で支援する非営利団体「MITRE」の副社長を務めるYosry Barsoum氏は、4月15日(米国時間)にCVE委員会に対して送付した書簡にて、共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)および共通脆弱性タイプ一覧(CWE: Common Weakness Enumeration)プログラムに対する政府の資金提供が4月16日に終了すると明らかにした。

この書簡がきっかけとなり、セキュリティ業界に緊迫した空気が流れた。
○共通脆弱性識別子(CVE)の役割

共通脆弱性識別子(CVE)はさまざまなソフトウェアやハードウェアに存在する脆弱性を評価および管理する仕組みで、脆弱性それぞれに一意の識別子を割り当てている。企業や組織の脆弱性管理や対策に利用されているほか、セキュリティ研究者と開発者間の不必要な争いを回避する「責任ある情報開示」にも役立っている。

共通脆弱性タイプ一覧(CWE)は脆弱性の種類や概要を管理する仕組みで、CVEと同様に一意の識別子を割り当て、脆弱性の特定や対策に活用されている。

いずれも現在のサイバーセキュリティには欠かせない存在となっており、これらを失うことの危険性について米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)のディレクターを務めたJen Easterly氏は次のように述べている(参考：「QUICK NOTE: A potential shutdown or disruption of the CVE (Common… | Jen Easterly」)。

「CVEシステムは見出しにはならないかもしれませんが、現代のサイバーセキュリティの重要な柱の一つです。これを失うことは、すべての図書館からカード目録を一度に引き抜くようなものです。防御側は混乱した状況を整理する一方で、攻撃者はこれを最大限に活用することになります」
○代替計画の実行後に資金提供を延長

.