CVEとは何か？

#脆弱性

掲載日

2023年10月17日

最終更新日

2025年12月4日

CVE」とは、Common Vulnerabilities and Exposures（共通脆弱性・暴露）の略で、聞いたことがある人も多いだろう。CVEは、既知のコンピュータ・セキュリティ問題を追跡する巨大なデータベースにリストアップされます。これにより、簡単にアクセスして参照することができます。ですから、もし誰かがCVEについて、あるいはCVEレコードについて話しているのを耳にしたら、それはセキュリティ上の欠陥が知られていて、すでにカタログ化されていることを意味します。

既知のセキュリティ欠陥を共有し、カタログ化することで、サイバーセキュリティ担当者は脆弱性に優先順位をつけて対処し、クラウドやコード、その他のITシステムをより安全にすることができる。

基本的に、CVEシステムは共通の言語と参照ポイントを提供する。しかし--これが大きな「しかし」だが--私の問題があなたの問題ではないかもしれないことを心に留めておいてほしい！

CVEデータベースは誰が管理しているのですか？

CVEシステムを統括しているのはMITRE社で、CVEの記録はすべて一般市民が無料で検索・利用できる。サイバーセキュリティ・インフラストラクチャ安全保障局（CISA）は資金提供に協力している。CVEエントリーは簡潔で、深い技術的データはありません。CVEエントリーには、修正、リスク、影響についてのコメントもない。詳細については、他のデータベースに記録されている。その例としては、米国国家脆弱性データベース（NVD）やCERT/CC脆弱性ノート・データベースなどがある。

CVE IDとはどのようなものですか？

CVE IDはシリアル番号のようなものだ。CVEエントリーを見ると、次のようなCVE IDが表示される："cve-yyyy-###"となります。

CVE記録には何が含まれるのか？

CVEレコードには以下の情報が含まれる：

CVE ID
説明
参考文献
CNAの配置
レコード作成日

CVE記録には、フェーズ、投票、コメント、提案など、新規エントリーには関係のないレガシーなものも含まれている。

CVE-2023-40033によるFlarumへのSSRF攻撃に関するCVE記録例。 — 出典：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40033

どのようにして脆弱性や暴露を見つけるのか？

技術系企業から好奇心旺盛なユーザーまで、誰でも報告することができる。中には、これらの問題を発見し報告することで、報酬を提供するものさえある。オープンソースのソフトウェアであれば、コミュニティのサポートがすべてだ。

脆弱性が報告されると、CNAはその脆弱性にCVE IDを与え、簡単な説明を書き、参考文献を追加する。その後、CVEウェブサイトに掲載される。問題が公表される前にIDを取得することもある。悪者を寄せ付けない。

さて、すべての問題にCVEがつくわけではない。もちろん、ルールはある！主に3つの基準が適用される：

独立して修正可能。これは、その欠陥が修正可能で、独立しており、他のバグとは無関係であることを意味する。
ベンダーが認めている。 これは、そのバグが存在し、セキュリティに悪影響を及ぼす可能性があることを、ベンダーが認めていることを意味します。もう一つの選択肢は、バグの悪影響と、それがシステムのセキュリティポリシにどのように違反するかについての説明を含む、共有された脆弱性報告書を持つことです。
一つのコードベースだけに影響する。 複数の製品に影響する場合は、別々のCVEを取得する。できるだけ分離してCVEレコードを作成することです。

CVEレコードはどのように見つけることができますか？

まず第一に、CVE情報は無料で公開されている。これは良いニュースだ。

最新の CVEを見つける最も簡単な方法は、Xで@CVEnewをフォローすることだ。このフィードは、毎日複数の新しいCVEに関するツイートで常に更新されている。昨日見ただけでも80以上の新しいCVEがあった！フォローすれば、フィードはそれらでいっぱいになるだろう！

過去のCVE記録をより詳細に検索する方法はどうでしょうか？1999年以降のすべての記録や特定の年の記録が欲しい場合、あるいはトピック別に検索したい場合は、CVE.org/Downloadsにアクセスすればよい。一括ファイルはJSON 5.0形式になり、GitHubリポジトリからダウンロードできるようになりました。(注：以前のファイリングシステムは2024年1月1日に利用できなくなります)

CVEdetails.comには、毎日更新されるデータベースの使いやすいオンライン版が ある！

ライブラリーを適切なCVEにマッチさせるには？

脆弱性を分析する際には、正しいCVEを取得する必要があります。正しいCVEであることを確認するベストプラクティスは、バージョン番号とパッケージ名をチェックすることです。Trivyなど、これを自動的に行うツールは数多く存在します。（Aikido 、この機能の一部Aikido 。）

共通脆弱性評価システム - CVSS

NVD などは Common Vulnerability Scoring System（CVSS）を使って、脆弱性や暴露の深刻度を判定している。これはセキュリティ問題の成績表のようなもので、0.0（大したことない）から10.0（大問題）まであります。つまり、各CVEエントリにはCVSSスコアがあります。

CVSSスコアはどのように計算されるのか？

CVSSスコアは、脆弱性ベースのメトリクスに基づく計算式で算出される。CVSSスコアは、以下の3つの分野のスコアから構成される：Base、Temporal、Environmental。ベース・スコアは必須であり、出発点であり、影響度と悪用可能性のサブスコアを持っています。次に、Temporal スコアが Base から計算されます。次に、Temporal スコアから Environmental スコアを計算することができる。これらの計算が総合的な CVSS スコアにつながる。

数式マニアのための何か！スコアリングシステムとCVSS計算機がどのように機能するかをチェックしてください。どのような計算が行われ、どのような正確なメトリクスが各スコアを生み出しているのかをご確認ください。攻撃ベクトル複雑さをアタッチする！盛りだくさんの内容です！

CVSSスコアリングスケールとは何ですか？

現行（v3.1）のCVSSスコアリング・スケールには5つのカテゴリーがある：

CVSS Scoring Scale v3.1 - CVEエントリーにはCVSSスコアが付与されます。 — CVSSスコアリングスケール

9.0～10.0＝クリティカル
7.0～8.9=高
4.0 - 6.9 = 中程度
0.1 - 3.9 = 低
0.0 = なし

CVSSスコアリングシステム・ユーザーズガイドをダウンロードしてください。

CVEレコードのCVSSスコアを調べるには？

これは簡単です！オンラインデータベースの各CVEレコードページには、NVDのCVSSスコアへのリンクがあります。クリックするだけです！例えば、この投稿の前に出てきたCVE-2023-40033を使って、「CVSSスコア」（レコードの右上隅）をクリックすると、この脆弱性のスコアが7.1（高）であることがわかります。

CWEとは？

CWE（Common Weakness Enumeration）は、一般的なソフトウェアとハードウェアの弱点のリストである。CWEはコミュニティによって開発されたリソースであり、弱点の種類と範囲の標準化を提供する。

MITREの言葉を引用すると、「CWEの主な目標は、脆弱性をソースで止めることです...製品が提供される前に最も一般的な間違いを排除することです」。CWEはまた、脆弱性データベース（CVEなど）にマッピングしながら、セキュリティの脅威に対する議論と対策のフレームワークを開発者に提供します。

CVEとの違いは？CWEは脆弱性につながる可能性のある根本的な弱点に焦点を当てています。一方、CVEは実際の脆弱性を記述します。CVEと同様、CWEにもCWSSと CWRAFによる深刻度スコアリングがあります。

2023年、最も危険なCWEトップ25をご覧ください。

強固なセキュリティ態勢を維持するためにはどうすればいいのか？

セキュリティの優先順位を決めるのに、やみくもにCVSSスコアに従わないこと

すべてのCVEが問題なのか？いいえ。これらは情報ですが、多くの情報と同じように、すべてのCVEがあなたのコンテキストに関連するとは限りません。また、関連性があるように見えるものでも、CVSSスコアが高いCVEであっても、あなたにとって関連性がなかったり、リスクにならなかったりする状況はたくさんあります：

ビジネスへの影響度：脆弱性は、CVSSスコアが高いにもかかわらず、組織の特定の業務、顧客データ、または重要なシステムに重大なリスクをもたらさない。あるいは、リスクアセスメントやその他のツールにより、他の要因（例えば、ある機能が到達できないなど）がCVSSスコアを上回る重要性を持つと判断される。
独自のシステム：カスタムまたは独自のソフトウェアを使用する場合、CVSSスコアは、特定のシステムの脆弱性に関連する実際のリスクを正確に反映しない可能性がある。
リソースの限界：高スコアのCVSS脆弱性をすべて修正したいところだが、現実的でなければならない。費用対効果の低いものに大量のリソースを注ぎ込む前に、優先順位をつけよう。
すでにカバー：すでに強固な防御策を講じているかもしれない。たとえ脆弱性のスコアが高くても、それを抑える安全策がすでにあれば、大騒ぎするほどのことではないと判断するかもしれない。
CWEへの認識： 配信内容に影響を与える可能性のあるCWEを常に意識すること。

脆弱性スキャナーを入手する

また、新たなトレンドを発見するのに役立つ新しいプラットフォームも登場している。認識スピードと脅威のコンテキスト化に特化したFletchをチェックしてみよう。Nessusは59,000以上のCVEをスキャンします。Nexposeは独自のスコアリング・システムを使用しており、脆弱性の年代や、すでに適用されているパッチや対処法を考慮に入れている。Nmapと OpenVASはオープンソースの脆弱性スキャナーだ。

その間、総合的なセキュリティ態勢の監視と改善にAikido を試してみませんか？ Aikido！

Aikido 、CVEのCVSSスコアを活用し改良を加えたリスクスコアを提供します — Aikido リスクスコアAikido する方法の例（CVEスコアを使用し、それを改善する）

CurVEを先取りする

CVEについて言えることは、CVEは過去、つまりすでに起こった脆弱性や暴露について書かれているということだ。つまり、悪質な行為者は、あなたが対応する前に損害を与える時間を持つことがあるということです。脆弱性スキャナーを使うだけでなく、リスクを管理するための手段を講じるようにしてください。これには、パッチが最新であることを確認したり、侵入テストを実施したりすることが含まれる。

TL;DR secでは、ソフトウェアのサプライチェーンと、さらに重要なこととして、各段階でのセキュリティ確保方法について詳しく説明している。

さらに、Aikido （無料・有料を問わず）やLinkedInフォロワーの皆様には、関連するLinkedIn投稿を通じて最新情報を共有しています。例えば、最近投稿したCVE-2023-4911（あまり面白くない）ルーニー・チューナブルズ脆弱性に関する記事がこちらです。