崩壊の危機は去ったが…… 有識者が語るCVEプログラムが抱える構造的欠陥：Cybersecurity Dive

製品の脆弱性情報を管理している共通脆弱性識別子（CVE）は、MITREと政府の間の契約に問題が発生し、2025年4月には閉鎖寸前にまで追い込まれた。この問題から有識者たちはCVEには構造的な欠陥があり、その解消が必要だと主張している。

[Eric Geller，Cybersecurity Dive]

　2025年8月9日（現地時間、以下同）にラスベガスで開催されたサイバーセキュリティカンファレンス「DEF CON」において、サイバーセキュリティの専門家たちは「現在、脆弱（ぜいじゃく）性をカタログ化する世界最大のプログラムが不安定な状況にあり、大きな改革を必要としている」と語った。

崩壊の危機は去ったが……　有識者が語るCVEプログラムが抱える構造的欠陥

　1999年の設立以来、共通脆弱性識別子（CVE）のプログラムは（注1）、ソフトウェアの脆弱性を見つけて修正するプロセスを縁の下で支えてきた。同プログラムの脆弱性データベースは、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）との契約の下でMITREが運営しているが、MITREと政府の間の契約に問題が発生し、2025年4月には閉鎖寸前にまで追い込まれた。

　世論の反発を受けてCISAが土壇場で契約を更新したものの（注2）（注3）、この出来事はサイバーセキュリティ業界に対し、これほど重要なリソースが政府の資金に依存している現状のリスクを改めて印象付けるものとなった。

　Microsoftのグローバルサイバーセキュリティ・ポリシーチームでセキュリティ政策ストラテジストを務めるエリザベス・アイグナー氏はDEF CONのパネルディスカッションで次のように語った。

　「正直に言うと、CVEのプログラムの資金が打ち切られたとき、私たちはかなり動揺した。同プログラムについて私は安定した資金確保と、長期的な資金供給が保証される仕組みの構築が必要だと考えている」

　CVEのプログラムは、ソフトウェアの脆弱性に関する詳細情報を世界中から集約するための中心的なリポジトリとして機能している。脆弱性を発見した人々は、CVEのナンバリングを担当する機関（CNA）に報告する（注4）。その後、脆弱性が検証され、脆弱性に固有の番号が割り当てられ、CVEのカタログで公開されるのだ。ベンダーによる修正パッチの適用やPoC（概念実証）用のエクスプロイトの作成、攻撃に関する報告などは、CVEの番号とカタログに掲載された情報を参照して進められる。

　アイグナー氏は「同データベースは重要インフラと見なされるべきだ」と述べ、Microsoftが毎月80〜100件の脆弱性をプログラムに報告していることに言及した。

　2025年4月に起きた契約問題をきっかけに、サイバーセキュリティ業界で議論が再び活発になった（注5）。同業界は、重要なデジタルインフラを政府が管理することに懐疑的であり、CVEのプログラムが米国政府の資金に依存している状況を改善すべきだと考えている。MITREとの契約が失効しかけた際、CVEのプログラムの理事会メンバーたちは、MITREからプログラムを引き継ぐことを目的に非営利団体を設立した。

　CVEの理事会のメンバーは次のように記している（注6）。

　「CISAが同プログラムを支援している現状について、長年にわたって理事会のメンバーの間で懸念があった。世界中で利用されている重要なリソースが、単一の政府支援者に結び付けられていることによって、持続可能性や中立性が損なわれるのではないかという懸念だ」

　CISAは、不安を募らせる関係者を急いで安心させようとした。CISAの幹部は「CVEのプログラムのスポンサーであることを誇りに思っている。自らの役割の再評価にも前向きだ」と語った。2025年8月7日にラスベガスで開催されたサイバーセキュリティカンファレンス「Black Hat USA」でも、CISAの担当者は「同プログラムはセキュリティ業界にとって不可欠な存在だ」と改めて強調した（注7）。

　ソースコードの保存および共有、管理のためのプラットフォームである「GitHub」において、アドバイザリーデータベースの管理を担当するマディソン・オリバー氏（シニアマネジャー）は、DEF CONのパネルディスカッションで「ありがたいことに、今のところ問題は起きていない」と語った。一方、同氏は「CVEのプログラムの支援者たちは不安定な状況を改めて認識しており、今後は本プログラムが強靭（きょうじん）性および透明性、持続可能性を保てるようにさらに注力する」とも述べている。

　アイグナー氏は、この度の出来事を取り上げて「米国政府とプログラムに参加する他の主要な関係者との間に信頼の溝が生まれた。現在、多くの関係者が互いの状況を警戒しつつ探っている状況だ」と述べた。同氏が勤務するMicrosoftは最大級のCNAの一つである。

CVEは公共の財産　米国政府への依存体制に懸念の声

　専門家たちは「CVEのデータベースが今後も政府の資金で運営されるのかどうか、運営が非営利団体に移管されるのかどうかにかかわらず、同プログラムにはより厳格な運営ルールが必要だ」と述べている。

　「私たちには、特定の機関やベンダーへの依存から解放された独立したガバナンスが必要だ。プログラムの中立性と信頼性がより高いレベルで確保され、1つの組織が全てを支配するような状況にならないことを望む」（アイグナー氏）

　企業や組織向けに バグバウンティプログラムを提供するBugcrowdで、米国地域のCISO（最高情報セキュリティ責任者）を務めるトレイ・フォード氏は「サイバーセキュリティ業界は同プログラムの安定性により注意を払う必要がある」と述べた。

　「CVEが公共の財産であるという事実をより適切に認識する必要がある。私たちは管理者として振る舞わなければならない」（フォード氏）

　CVEのプログラムは時代とともに進化してきた。特に2016年以降、運営理事会がCNAになることができる組織の範囲を拡大する決定を下してから大きく変わった。当時、CNAは23団体しかなかったが、現在は463団体にまで増加している。

　2025年8月9日のパネルディスカッションで、ネットワーク機器メーカーのNETGEARでプロダクトセキュリティ責任者を務めるチャンダン・ナンダクマライア氏は「CNAの権限の多様化こそが、米国政府がCVEのプログラムから手を引くことをそれほど心配しなくても良い理由の一つだ。全てが悲観的というわけではない」と主張した。

　ナンダクマライア氏は「仮にMITREとの契約が失効しても、CVEのプログラム自体は存続していただろう。単にデータベースのホスティングに中断が生じるだけである」と述べた。2025年4月の出来事を受けて、CVEの理事会はデータベースを非政府系システムへ切り替えるためのバックアップ計画を策定した。

　一方、CVEの仕組みに関わる他の参加者たちは、そこまで自信を持てていなかった。

　アイグナー氏は「予備プランが整っていると知り、心強く思う。予備プランは、信頼の溝を埋めるための第一歩だ」と語った。しかし、同氏は続けて「足りないのは、本プログラムの中核となる仕組みが、セキュリティコミュニティー全体に対して説明責任を果たしているという感覚だ」と述べた。

CISAがリーダーシップを発揮し、“バルカン化”を防ぐべき

　CVEのプログラムを新しい非営利団体に移管することは、説明責任に関する懸念を解消する一助となり得る。また、団体の設立者たちが指摘したように（注8）、インターネットインフラの歴史には移行の前例が存在する。

　「今後どうなろうとも、CISAが中心的な役割を担い続ける必要があるのは確かだ。ただし、重要なのは他の関係者が単なる協力者ではなく、中核を成す仕組みの一部として責任を負う存在になるためにはどうすべきかという点だ」（アイグナー氏）

　アイグナー氏は「同プログラムの土台を大きく立て直す取り組みを進めなければ、崩れてバルカン化してしまう危険が現実にある」と警告した。バルカン化とは、幾つもの小さな団体が連携しないまま後任を名乗り出てしまう状況を指す。同氏は「そうした隙間が生まれれば、私たち全員の安全性はむしろ低下してしまうだろう」と付け加えた。なお、2025年5月にEC（欧州連合）は独自の脆弱性データベースを立ち上げた（注9）。

　「サイバーセキュリティ業界は、今からCVEのプログラムの将来に向けた計画を立て始めるべきだ。そうすることで、私たちが懸念しているロゼッタストーンの崩壊を回避できる」（アイグナー氏）

（注1）CVE™ Program Mission（CVE）
（注2）CISA extends MITRE-backed CVE contract hours before its lapse（NEXTGOV）
（注3）MITRE warns of lapse with CVE program as contract with US set to expire（The Record）
（注4）CVE Numbering Authorities (CNAs)（CVE）
（注5）Dark Reading Confidential: Funding the CVE Program of the Future（DARK READING）
（注6）CVE Foundation Launched to Secure the Future of the CVE Program（CVE Foundation）
（注7）CISA officials say agency is moving ahead despite workforce purge（Cybersecurity Dive）
（注8）CISA Statement on CVE（CVE Foundation）
（注9）EU launches vulnerability database to tackle cybersecurity threats（The Record）

原文へのリンク