CVEプログラム資金切れの危機回避 非営利財団設立で脱政府依存へ：セキュリティニュースアラート

CISAはCVEプログラムの重要性を強調し、MITREとの契約継続を発表した。財団「CVE Foundation」も創設し、政府依存からの脱却と中立的運営への移行が進んでいる。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）は2025年4月16日（現地時間、以下同）、「CVEプログラムはサイバーコミュニティーにとって非常に重要であり、CISAの優先事項である」との声明を発表し、MITRE（The Mitre Corporation）が運営する脆弱（ぜいじゃく）性情報データベース（CVE）プログラムの契約オプションを履行したことを明らかにした。今後11カ月間の資金提供により、CVEプログラムにおける重要サービスの中断は生じない見通しとなった。

CVEプログラム資金切れの危機回避　非営利財団設立で脱政府依存へ

　MITREの副社長ヨスリー・バーソウム氏が2025年4月15日にCVEボードへ送付した書簡を受け、このことが発表された。書簡では、CVEおよび共通脆弱性タイプ一覧（CWE）プログラムに対する米国政府からの資金提供が4月16日をもって終了する見通しであることが明かされ、MITREは契約終了により、脆弱性データベースやセキュリティアドバイザリー、対応ツール、インシデントレスポンス業務、重要インフラにまで影響が及ぶ可能性があると警告していた。

　CVEプログラムは1999年に創設されて以来、米国政府からの資金提供の下、MITREが運営してきた。脆弱性を一元的に識別、記録し、共通の基準でセキュリティ情報を提供する同プログラムは、世界中のベンダーやセキュリティ専門家にとって不可欠な情報源となっている。

　今回の資金継続措置の発表と同時期に、CVEボードの有志メンバーらは「CVE Foundation」の設立を発表した。同財団は非営利団体として、今後のCVEプログラムの持続性と中立性を確保することを目的に設立された。設立声明では世界中から信頼を集めているCVEが単一の政府スポンサーにひも付いている現状に、長年懸念があったとした上で、今後は政府契約に依存しない独立したガバナンスモデルへの移行を進める方針を示している。

　CVE Foundationは内部構造や移行計画、コミュニティー参加の機会について、今後数日のうちに追加情報を発表する予定だ。なお、MITREが引き続き技術的運営やデータ管理に関与するかどうかについては、現時点で明らかになっていない。

　今回の一連の動きは、CVEを取り巻く運営体制の転換点となる可能性がある。資金提供の不確実性が顕在化したことでCVEプログラムの持続性や中立性に対する関心が高まりつつあり、今後の運営方針やガバナンスの在り方が改めて問われる局面に移ったといえる。セキュリティコミュニティーにとって不可欠な基盤の安定性をどう確保するか、その行方に注目が集まる。