パスワード管理サービスなどを提供するKeeper Security APAC株式会社は10月17日、情報セキュリティの脆弱性情報を収集し管理するCVEプログラムにおいてCVE採番機関に認定されたと発表した。
CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)は、米国国土安全保障省(DHS)サイバーセキュリティ・社会基盤安全保障庁(CISA)が支援するプログラムで、CISAはCVEリストを利用して悪用が確認された既知の脆弱性カタログ(Known Exploited Vulnerability Catalog)を作成している。CVEリストは、セキュリティ設定共通化手順(Security Content Automation Protocol:SCAP)に基づいて数値化された米国国立標準技術研究所(NIST)が管理する米国国家脆弱性データベース(NVD)にも利用されている。
CVE採番機関(CVE Numbering Authorities:CNA)は、CVEプログラムに認可されたベンダー、研究者、オープンソース、CERT、ホスティングサービス、バグ報奨金提供組織で、脆弱性にCVE IDを割り当て、それぞれの特定の適用範囲内でCVEレコードを公開する。
同社は今後、CVE IDの直接割り当てや、自社のソースコードで発見された脆弱性および同社が発見したサードパーティ製ソフトウェアの脆弱性に関するCVE記録の公開が可能となる。同社が公開したCVEリストは、世界中のIT及びサイバーセキュリティの専門家が脆弱性への優先順位付けや対処方法の調整に利用する。
同社のCTO兼共同創業者であるCraig Lurey氏は、「私たちはCNAパートナーになることで、潜在的なセキュリティ問題の責任ある開示(Responsible Disclosure)に対する当社の継続的な取り組みをさらに加速させてまいります。」とコメントしている。