CVE 【Common Vulnerabilities and Exposures】 CVE識別子 / CVE番号

概要

CVE（Common Vulnerabilities and Exposures）とは、様々なソフトウェアの保安上の弱点(脆弱性)についての情報を収集・公開している、世界的に著名なデータベースの一つ。また、脆弱性が同データベースに報告・登録される際に付与される識別番号(CVE ID)。

CVEは米非営利団体マイター（MITRE Corporation）が1999年に開始した脆弱性情報データベースで、ソフトウェアなどに発見された脆弱性や発生したインシデントについて、国や企業などの違いに拠らず共通して利用できる識別番号を提供している。

CVEの識別番号は「CVE-登録日の西暦（4桁）-通し番号」の形式で与えられ、通し番号はその年の何番目に登録されたかを表す。2013年まで通し番号部分は左に0を詰めた4桁固定（0001～9999）だったが、年間の報告件数が1万件を超える見通しとなったことから、2014年以降は最低4桁の任意桁（10000以上が存在）に変更された。

脆弱性情報の内容は、概要、参照すべきURL、状態で構成される。状態は「候補」（candidate）と「登録」（entry）のいずれかで、報告を受けて脆弱性に該当するかどうかを審査している最中は「候補」に、審査の結果、脆弱性としての登録が決定された場合には「登録」となる。

MITRE自身はCVEを「辞書」と位置付け、問題の識別可能性の確保のみに活動の焦点を絞っており、問題の詳細や現状、解決策などの情報は外部のデータベースなどを参照するよう推奨している。

この記事の著者 ： (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。