CVEプログラム終了の危機？ 米国政府との契約終了で立ち込める暗雲：セキュリティニュースアラート

CVEプログラムを運営するMITREは、米国政府との契約終了によって資金提供が未定であることを警告した。資金提供が停止することで同プログラムの運営が滞り、世界的なセキュリティ対策に深刻な影響を及ぼす可能性がある。

[後藤大地，有限会社オングス]

　セキュリティ専門Webメディア「SecurityWeek」は2025年4月15日（現地時間、以下同）、MITRE（The Mitre Corporation）が米国政府予算の不透明性によって脆弱（ぜいじゃく）性情報データベース（CVE）プログラムの運営継続に支障が出る恐れがあると警告したと報じた。

MITREが警告、CVEの運営に危機が迫る

　MITREのホームランドセキュリティセンター副所長を務めるヨスリー・バーソウム氏は、CVEボードへの書簡で、同プログラムをはじめとする複数の関連事業の契約が米国政府との間で2025年4月16日に終了する見通しであり、その後の資金提供については未定であると述べた。

　同氏は「仮に契約更新がなされなければ、国家的な脆弱性データベースやセキュリティアドバイザリーの精度低下、ソフトウェアベンダーの対応遅延、さらには重要インフラへの影響といった多方面への支障が出る」と懸念を伝えている。

　CVEプログラムは、広く共有されるべき脆弱性情報を一元的に整理・記録する仕組みであり、ベンダーやセキュリティ担当者などが信頼性の高い情報を共有するための基盤となっている。このプログラムは米国政府の支援を受けて、MITREが運営している。MITREは米国政府に代わって研究開発センターを運営する非営利組織であり、安全保障やサイバーセキュリティ、医療などの分野で公共の利益に資する技術支援を実施している。

　CVEプログラムの先行きへの懸念は、米国国立標準技術研究所（NIST）が管理している脆弱性情報データベース（NVD）における処理遅延とも連動している。NISTは2024年春から夏にかけての停滞以降も処理ペース自体は維持しているとするが、2024年はCVEの提出数が前年比32％増加しており、未処理のバックログが依然として増え続けている状況にある。

　NISTは今後も提出件数の増加が見込まれるとし、ML（機械学習）を含めたAIを活用した自動処理の導入を検討している。しかし現時点では従来の手動処理フローや古いデータ形式がボトルネックとなっており、迅速な情報提供が求められる現場では深刻な影響が出始めている。

　脆弱性情報の処理が遅れることで、報告済みの脆弱性と実際に対応可能なインテリジェンスとの間にギャップを生じさせ、企業のシステム防御において重大な障害となる。資金不足が続けばCVEプログラムの維持が困難となり、その影響は単に企業のシステム防御にとどまらず、世界規模でのセキュリティ強化に深刻な支障を来す可能性がある。