yamory Blog

はじめての方向けCVE入門 CVEIDやMITREなどもまとめて紹介

「CVE」 をご存知ですか?
セキュリティや不正アクセスなどについて調べていると、脆弱性という言葉とともに出てくることが多い単語です。「CVE-XXXX-XXXX」のような形式で目に入ることが多いのではないでしょうか。

CVEについて簡潔に解説すると以下の通りとなります。

  • 「CVE」…CVE (Common Vulnerabilities and Exposures: 共通脆弱性識別子)とは、 情報セキュリティにおいて、システム・ソフトウェア、Webアプリケーション上の各々の脆弱性やエクスポージャー(システム上の攻撃可能な不備など)に対し、一意の番号を付与、 リスト化した辞書です。
  • 「CVE ID」…CVE ID(CVE識別番号)は上記のCVEに登録される際に脆弱性やエクスポージャーに対し付与される一意の識別番号です。「CVE-XXXX-XXXX」という形式で付与されます。
  • 「MITRE」… MITRE(マイター)は情報セキュリティを専門とする政府系研究開発センターを運営し、米国政府への技術支援などを行っている非営利組織です。

本記事では「CVE」「CVE ID」「MITRE」について、サイバーセキュリティや脆弱性対策の観点からそれぞれ解説していきます。

「CVE」 とは

読み方は「シーブイイー」です。
正式には「Common Vulnerabilities and Exposures」(共通脆弱性識別子)の略であり、各ベンダーや開発者から報告されたIT製品やソフトウェア、OSSなどの脆弱性(Vulnerabilities)やエクスポージャー(Exposures)※注1 の情報をまとめてリスト化した辞書です。
※注1 エクスポージャー: (攻撃者がシステムまたはネットワークへの足がかりとして使用できる情報または機能へのアクセスを可能にするシステム構成の問題またはソフトウェアの不備のこと)

CVEに登録された情報についてはCVEのWebサイトから誰もが無料で確認、利用することができます。

CVEに関する知識として重要なのは、CVEは脆弱性やエクスポージャーへの対策情報などの詳細が登録されたデータベースではないという点です。
CVEに登録される情報には対象の脆弱性やエクスポージャーに関する「リスク」「影響度や危険性」「修正/対策情報」などは含まれていません。
CVEには以下の項目のみが含まれています。

説明
CVE-ID CVE識別番号 ※詳細は後述
Description 脆弱性/エクスポージャーそのものの簡易な説明
References 参考情報URL(あくまで対象のCVEとその他の脆弱性情報の区別をしやすくするための情報であり、完全性などは保証されない)
Assigning CNA 対象のCVEを登録したCNA(CVE番号付け機関)の名称
Date Entry Created CVE IDが付与された日時

これはCVEのそもそもの目的が以下の2つであることが関係しています。
識別可能性の確保…個々の脆弱性に固有のCVE識別番号を割り当て、CVE識別番号によって脆弱性を識別可能とすること
命名…個々の脆弱性に(業界標準的な)名前を付けること

これらを一般に提供することでサイバーセキュリティやサイバー攻撃に対する情報連携を効率化し、実際の対策面は外部サイトや他の脆弱性データベースやセキュリティ機関に任せるというのがCVEの立ち位置として見られます。
なお、この目的などについてはMITRE社が提供するCVEのWEBサイト上にも記載されています。

脆弱性の対策などを含んだ情報登録がなされている脆弱性情報データベースの代表例としては、NIST(National Institute of Standards and Technology: アメリカ国立標準技術研究所) が管理するNVD(National Vulnerability Database)が存在します。
NVDはCVEに登録された脆弱性やエクスポージャーに紐付ける形で以下のような情報を提供します。

  • 対象の脆弱性やエクスポージャーの分析に関するステータス
  • 紐付けられたCVEの説明とURL
  • 対象の脆弱性やエクスポージャーが危険性などを示す影響度(CVSSなど)
  • 参考情報への参照URL

CVEはMITRE Corporation(後述)によって管理されています。またDHS(United States Department of Homeland Security: 米国国土安全保障省)内の一部門であるCISA(Cybersecurity and Infrastructure Security Agency)が後援しています。

「CVE ID」とは

CVE ID(CVE識別番号)とはCVEに登録された脆弱性/エクスポージャーに対して付与される一意の識別番号です。
一意の識別番号を付与・公開することで、ある脆弱性に対して2つ以上の機関から対策情報の公開がなされた場合にも、同じ脆弱性に対して言及しているのだという識別が可能となります。
このCVE IDは「CVE-西暦-連番」のルールに則って採番されます。
※2013年までは、「CVE-西暦-4桁通番」の形式で採番されていましたが、報告される脆弱性が増加し、年間で1万件を超えて4桁では足りなくなることが確実となりました。
そのため、2014年からは、通番部分が4桁以上と改定されています。

この「CVE ID」の採番はセキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家で構成されるCNA(CVE Numbering Authorities : CVE番号付け機関)により行われています。
CNAはCVEに報告された脆弱性やエクスポージャーを評価し、登録に値するものに対してCVE IDの割り当て作業が行います。
CNAのメンバーについてもCVEの公式サイトより公開されております。

CVE ID は毎年数千~数万単位で発行されます。
これは個々の製品に対して脆弱性やエクスポージャーが一つ一つ発見されるというだけではなく、例えばオペレーティングシステムなどの複雑な製品では、1 つの製品や一つのソフトウェア上のライブラリなどに紐づく形で数百などの CVE が発行されることもあるためです。
ただし、報告された脆弱性やエクスポージャーが短時間ですべてCVE IDが採番され登録されるわけではありません。一般的に脆弱性やエクスポージャーが報告された製品のベンダーは対策の開発とテストが終了するまでセキュリティ問題の情報を公開しないようにしています。
これは未対応の問題が攻撃者に利用されるゼロディ攻撃を防ぐためです。
なお、CVEの登録申請についてはCVEの公式サイトに専用のWebフォームが設置されています。

参考情報「MITRE」とは

MITRE(マイター)はサイバーセキュリティを専門とする政府系研究開発センターを運営し、米国政府への技術支援などを行っている非営利組織です。
CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のないCVE IDを採番、管理しています。

※CVEの元となるコンセプトは、CVEの共同作成者であるMITER社のDavid E. MannとSteven M. Christeyによって、1999年1月21〜22日、米国インディアナ州ウェストラファイエットのパデュー大学における「脆弱性の一般的な列挙に向けた研究ワークショップ」で発表されました。
その後1999年9月にCVEは一般に公開されました(当初のCVEリストの登録数は321)

CVEの実際の脆弱性対策への活用方法

先述の通りCVEは最新のサイバー攻撃に対する脆弱性対策を行う際に大変重要な辞書、リストです。
修正パッチやアップロードといった公開された対策も元をたどっていくと殆どがCVEと紐付いています。
しかしながら日々CVEから公開される脆弱性やエクスポージャーに関する情報の数量は先述したとおり膨大です。
またその影響度や重要性の高さや重みは個々に様々です。
これらすべてを人力や目視ですべて確認し、対策を立てていくことは不可能ではないにせよ、難しく、また多大な工数や時間がかかることでしょう。
また、その間にもサイバー攻撃につながる新たなCVEが登録され公開されていきます。

このような状況を踏まえ、最新のサイバー攻撃に対処するためにも、最新の脆弱性やエクスポージャーの情報を取得してくれる、セキュリティツールや脆弱性自動管理ツールなどを利用することで、サイバーセキュリティ対策を効率的にかつ安全に行える可能性が高くなります。組織や企業のセキュリティ対策を考える際にぜひ一度ご検討ください。

おすすめ記事

脆弱性対策を検討し始めた方向け
Webアプリケーションのセキュリティとは
システムにおける脆弱性とは?その対策と管理方法について
なぜ、オープンソースの脆弱性管理と対策が重要なのか

オープンソース脆弱性管理ツール yamory

  • 利用中のOSSを抽出し
    脆弱性を自動スキャン
  • 脆弱性への対応優先度を自動で分類
  • 組織規模に合わせたプランを選択可能

フリー

¥0

個人向け

1チームまでの開発チーム作成

yamory を使いはじめる

プロ

有料料金はお問い合わせください

中〜大規模組織向け

無制限の開発チーム作成

開発チームを俯瞰できるセキュリティチーム機能

危険な脆弱性の Slack 連携通知機能

Jira Cloud と連携

30日間の無料トライアルを開始