CVEだけが全てじゃない!脆弱性管理の新常識と注目すべき代替指標
サイバーセキュリティに関わる方なら「CVE」という言葉を耳にしない日はないでしょう。これは、世界中で発見されるソフトウェアの脆弱性一つひとつに割り当てられる、ユニークな識別番号のことです。この番号があるおかげで、私たちは特定の脆弱性について共通認識を持ち、迅速な情報共有と対策が可能になっています。
最近では2025年4月に、米国政府予算の不透明性によって脆弱性情報データベース(CVE)プログラムの運営継続に支障が出る恐れがあると警告したと報じられ、CVE Foundation(CVE財団)の設立が発表されました。
その一方で、米国サイバーセキュリティ・社会基盤安全保障庁(CISA)はCVEを管理するMITREとの契約を延長し、当面の運用資金を確保しましたが継続性にはまだ疑問が残されています。このような背景の中、代替指標も注目され、EUVD(European Union Vulnerability Database) などが注目されています。
CVEがその中核を担っていることは間違いありませんが、脆弱性情報を評価し、対策を講じるための指標はCVEだけではありません。むしろ、多様な視点から脆弱性を捉えるために、複数の指標を組み合わせて活用することが、現代の高度なサイバー攻撃に対応するための鍵となります。CVE以外の脆弱性情報の指標に関しては以下のようなものが公開されています。
CWE (Common Weakness Enumeration): 脆弱性の「種類」を識別具体的な脆弱性(例:SQLインジェクション、クロスサイトスクリプティングなど)を分類し、そのタイプをリスト化しています。脆弱性の特定や対策、予防の共通言語として利用され、多くの脆弱性診断ツールやIPA(独立行政法人情報処理推進機構)でも採用されています。
CVSS (Common Vulnerability Scoring System): 脆弱性の「深刻度」を定量化攻撃の難易度、機密性・完全性・可用性への影響などを考慮し、0. 0から10. 0までのスコアで脆弱性の深刻度を表します。ベンダーに依存しない中立的な評価が可能で、脆弱性対応の優先順位付けに役立ちます。
EPSS (Exploit Prediction Scoring System): 脆弱性が「悪用される可能性」の予測機械学習と膨大な脆弱性データを用いて、特定のCVEが30日以内に悪用される確率を算出します。CVSSが脆弱性そのものの技術的深刻度を示すのに対し、EPSSは「実際に攻撃される可能性の大きさ」に特化しており、限られたリソースの中で優先的に対応すべき脆弱性を判断する際に有用です。
CISA KEV (Known Exploited Vulnerabilities) :実際に「悪用が確認された」脆弱性のリスト既に攻撃に利用されている脆弱性を明確にすることで、組織が優先的に対処すべき脆弱性を把握し、迅速な対応を促します。
JVN (Japan Vulnerability Notes): 日本の脆弱性対策情報ポータルサイト
JVNは、IPAとJPCERT/CCが共同で運営しており、国内で発見された脆弱性情報や、海外で公開された脆弱性情報の中から日本にとって特に重要なものを日本語で提供しています。CVEと互換性のある日本独自の脆弱性情報も公開されており、日本の組織にとって非常に重要な情報源です。
そして、2025年5月には、米国NIST(国立標準技術研究所)から新たな脆弱性評価指標「LEV(Likely Exploited Vulnerabilities)」が発表されました。これは、既存の脆弱性が「実際に悪用されている可能性」を確率として提示する数学モデルです。EPSSと似たコンセプトですが、より広範なデータと高度な分析に基づいているとされています。
これらの指標はそれぞれ異なる視点から脆弱性を評価しており、単独で使うだけでなく、組み合わせて利用することで、より効果的な脆弱性管理が可能になります。例えば、CVSSで深刻度が高いと評価された脆弱性について、EPSSで悪用される可能性が高いと予測されたり、CISA KEVに掲載されている場合は、優先的に対応するといった運用が考えられます。
最近では、2025年5月、米国NIST(国立標準技術研究所)は新たな脆弱性評価指標「LEV(Likely Exploited Vulnerabilities)」を発表しました。これは、既存の脆弱性が“実際に悪用されている可能性”を確率として提示する数学モデルです。今後、日本のNICT(情報通信研究機構)もLEVの導入を視野に入れているとされ、セキュリティ運用や脆弱性管理の現場において注目を集めています。
