セキュリティの脆弱(ぜいじゃく)性を識別するための「共通脆弱性識別子」(Common Vulnerabilities and Exposures:CVE)の管理体制を巡り、米国で混乱が生じた。CVEの管理を担うとする新組織が発足した一方、従来の体制も当面維持されることになり、先行きが不透明となっている。
米国時間4月16日、CVEの運用と管理を新たに手掛けるとしてThe CVE Foundationが設立を表明した。同日のリリースで新組織は、「CVEプログラムは発足以来、米国政府の資金提供により運営されてきたが、同時にCVEの理事会では長年にわたり、世界的に信頼されているリソース(CVEプログラム)が単一の政府(米国連邦政府機関)の資金により運営されていることでの持続可能性および中立性に関する懸念があった」としている。
CVEは、ソフトウェアやIT機器などに存在する個々の脆弱性を容易に識別できるよう一意の番号「CVE-(西暦)-識別番号」で表記される。米非営利企業のMITREが1999年に提唱して、米国土安全保障省(DHS)とサイバーセキュリティインフラストラクチャー庁(CISA)のスポンサードによりMITREが運営、2024年10月に25周年を迎えた。
CVEは、世界各国のサイバーセキュリティ当局や民間企業、セキュリティ研究者や組織のセキュリティ担当者などが日常的に活用しており、例えばセキュリティ担当者は、新たな脆弱性情報が発信された場合に、CVEを用いて自社のITシステムが影響を受けるのかといったことをすぐに調査する。MITREによれば、現在ではこのプログラムに世界40カ国以上の400以上のCVE採番機関が協力しており、2024年10月時点で24万件以上のCVEが登録されている。
セキュリティ研究者「Tib3rius」氏のソーシャルメディアへの投稿によると、MITREは同15日に、米連邦政府から同16日に期限を迎えるスポンサード契約を延長しない通知を受け取ったという。The CVE Foundationもリリースで、「MITREは2025年4月15日付でCVEの理事会に書簡を送り、米国政府がプログラムの管理契約を更新する意向がないことを通知されたため、喫緊の課題となっている。われわれは、この日が来ないことを願い、その可能性に備えてきた」と説明している。
The CVE Foundationは、CVEの理事会メンバーの間で1年前から新組織設立の準備を進めてきたといい、今回の発足により「世界中のセキュリティ対策従事者のために、高品質な脆弱性の識別手段を提供し、CVEのデータの完全性と可用性を維持するという使命を続けていくことに専念する」と説明。今後数日中に、The CVE Foundationの組織体制やプログラムの移行計画、世界中のセキュリティコミュニティーの参加方法などの詳細を発表するとしている。
しかし、米サイバーセキュリティ専門メディアのBleepingComputerの報道によると、MITREは16日、CISAからCVEプログラムに対するスポンサー契約延長の通知を受けたといい、少なくとも今後11カ月間はMITREによるCVEプログラムの運営が継続されることになったという。CISAも17日に声明を発表し、「昨晩(米国時間16日夜)、CVEプログラムに対するスポンサー契約を延長するオプションの行使を決定した。これにより重要なCVEが失効するようなことはない」と述べている。
CVEプログラムは、米国政府の支援延長によって当面MITREによる運営が継続される一方、新たに発足したThe CVE Foundationの今後どのように影響するのか、現時点では不透明な情勢にある。
