CVE
定義
CVE(Common Vulnerabilities and Exposures)は公開されたソフトウェア・ハードウェアの脆弱性に付与される一意の識別番号で、「CVE-[年号]-[連番]」の形式(例:CVE-2024-3400)を使います。MITRE Corporationが管理し、主要ベンダー・研究機関などのCNA(CVE Numbering Authority:認定発番組織)がCVE番号を割り当てます。NVD(National Vulnerability Database:NIST管理)でCVSSスコア・影響するソフトウェア・対策情報・参考リンクとともに公開されます。CVE番号で脆弱性を一意に参照できるため、パッチ・セキュリティアドバイザリ・エクスプロイトコード・脅威インテリジェンスの共有に共通言語として機能します。2024年は年間4万件超のCVEが登録されており、CISAのKEV(Known Exploited Vulnerabilities:実際に悪用が確認されたCVEリスト)とEPSS(悪用確率スコア)を組み合わせた優先対応が現実的な脆弱性管理に不可欠です。
関連用語
CVEが登場する記事・比較
よくある質問
CVEとは?
脆弱性に付与される一意の識別番号。「CVE-2024-12345」の形式。MITRE Corporationが管理し、NVD(National Vulnerability Database)でスコア(CVSS)とともに公開される。
同じカテゴリの用語(フレームワーク)
アプリ、グループ、サイトなど複数の権限を業務単位でまとめ、申請・承認・期限付きで付与する単位。…
既存のアクセス権が現在も必要かを、所有者や上長が定期的に再確認するプロセス。権限棚卸しの実務手法の一つ。…
ユーザー、グループ、管理者、外部共有、OAuthアプリなどのアクセス権が現在も妥当かを定期的に確認する活動。…
AIシステムの安全性、悪用耐性、プロンプト耐性、データ漏えいリスクを攻撃者視点で検証する評価活動。…
資産が事業やセキュリティに与える重要度。脆弱性対応、監視、復旧順序の優先度判断に使う。…
組織が保有・利用する端末、サーバー、SaaS、クラウド資産、データ、アカウントを一覧化した台帳。脆弱性管理や権限棚卸しの…