CVE（脆弱性識別子）とは？

詳細解説

CVE（Common Vulnerabilities and Exposures）は、ソフトウェア・ハードウェアに発見された既知の脆弱性を一意に識別するための国際標準識別子です。米国の非営利機関MITRE CorporationがNIST（米国国立標準技術研究所）と協力して管理しており、「CVE-2024-12345」（CVE-[発見年]-[連番]）の形式で番号が割り当てられます。CVEの目的は世界中のセキュリティベンダー・研究者・管理者が共通の識別子を使って脆弱性を参照できるようにすることで、パッチ適用優先順位の決定・セキュリティ製品のシグネチャ更新・脅威インテリジェンス共有が効率化されます。著名なCVEの例は「CVE-2021-44228（Log4Shell）」「CVE-2014-0160（Heartbleed/OpenSSL）」「CVE-2017-0144（EternalBlue/WannaCry）」などです。CVEはNVD（National Vulnerability Database）とも連携し、各CVEに対してCVSS（共通脆弱性評価システム）スコアが付与されて深刻度が可視化されます。脆弱性管理のワークフローは「CVE公開→CVSSスコアで優先順位付け→パッチ適用またはワークアラウンド実施→適用確認」が標準的です。ITパスポート試験では「CVEの役割」「CVSSとの関係」「脆弱性管理プロセス」が出題されます。

ITパスポートでの出題ポイント

• 1脆弱性に付与される国際標準の一意な識別番号（CVE-[年]-[連番]）
• 2MITREが管理し世界共通の脆弱性参照として使用
• 3CVSSスコアと組み合わせて対応優先順位を決定
• 4Log4Shell（CVE-2021-44228）が最近の著名な例

関連用語