共通脆弱性識別子「CVE」の概説について発表（IPA/ISEC）

製品・サービス・業界動向業界動向

32 views

2009.1.28 Wed 16:25

　独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）は1月26日、共通脆弱性識別子「CVE」の概説について発表した。CVE（Common Vulnerabilities and Exposures）は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子。MITRE社では、CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と重複のない採番に努めている。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用している。

　個別製品中の脆弱性に一意の識別番号「CVE識別番号（CVE-ID）」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用することができる。IPAとJPCERT/CCが共同で運営しているJVN、およびJVN iPedia（JVNDB）も、MITRE社と連携してCVE採番の枠組みに参加するため、JVNで公表する脆弱性に対するCVEの割り当てを申請することとし、2008年10月からはMITRE社が公表している「CVE情報源サイト」のひとつとして公示されるようになった。

http://www.ipa.go.jp/security/vuln/CVE.html