CVE プログラムの未来を担う CVE Foundation が発足:グローバルな脆弱性管理体制へ

CVE Foundation Launched to Secure Vulnerability Tracking

2025/04/16 SecurityOnline — サイバー・セキュリティ分野における重大な転換となる、CVE (Common Vulnerabilities and Exposures) Foundation の設立が正式に発表された。この動きは、脆弱性を追跡するためのグローバルなシステムである、CVE (Common Vulnerabilities and Exposures) プログラムの独立性と安定性を、長期的に確保するという目標の現れである。この発表は、MITRE による CVE プログラム運営に対する資金提供を、米国政府 終了するという内部文書が流出した翌日に行われた。つまり、1999年から 25年間も続いた、政府による支援が打ち切られることが明らかになったわけである。

これまでに、274,000件以上の脆弱性をカタログ化してきた CVE は、サイバー・セキュリティにおけるツールやアドバイザリや、グローバルな脅威対応オペレーションにおいて、中核的な役割を果たしてきた。その CVE エコシステムにとって、今回の資金提供の終了は、きわめて重要な転換点となる。

MITRE の VP 兼 Director of the Center for Securing the Homeland​ である Yosry Barsoum は、「もし、サービスの中断が発生した場合には、CVE への影響は多岐にわたると予想される。具体的には、NVD (National Vulnerability Databases) やアドバイザリの質の低下/ツール・ベンダーやインシデント対応業務への波及に加えて、重要インフラ全般への影響が懸念される」と警告している。

この出来事は、Web アプリ・ハッカーである Tib3rius のリークが、X (旧Twitter) に投稿されたことで明らかになった。


差し迫る不確実性に対応するために、CVE 理事会の現役メンバーによる連合体が、継続性を確保する計画の策定に水面下で取り組んできた。そして 4月16日に、CVE Foundation が独立した非営利の組織として正式に発足し、今後の CVE プログラムの責任を担っていくことが発表された。

プレス・リリースでは、「CVE Foundation は、CVE プログラムの長期的な存続/安定性/独立性を確保するために正式に設立された」と述べられている。

この体制変更は、中央集権的な運営やサービス中断へのリスクに対する防御策として捉えられており、単一の政府支援組織に過度に依存することへの懸念の高まりを反映したものと、セキュリティ・コミュニティでは捉えられている。

CVE Foundation の幹部である Kent Landfield は、「CVE は、グローバルなサイバーセキュリティ・エコシステムの基盤であり、それ自体が脆弱化してはならない。CVE が存在しなければ、グローバルなサイバー脅威に対して、防御側は極めて不利な立場に置かれることになる」とコメントしている。

CVE プログラム自体の目的は、ソフトウェア脆弱性の特定/追跡/カタログ化にあり、そのフレームワークが大きく変更されることはない。しかし、運営の体制は、MITRE による政府契約ベースから、グローバルなコミュニティ主導の財団型ガバナンスへと移行する。

さらにプレスリリースは、「今回の移行は、現代の脅威環境が持つグローバル性を反映した、ガバナンスを確立する好機でもある」と述べている。

今後の数日のうちに CVE Foundation は、内部体制/コミュニティの役割/CVE サービスにおける継続性の確保について、詳細な計画を発表する予定である。その一方で、今後の技術基盤やデータ管理における、MITRE の役割は不透明となっている。

この数日の間に、いろんなことが起こり、ものすごいスピードで、状況が変化していると感じています。

そして、今日の CVE Foundation ですが、そのステートメントには、「2025年4月23日の CISA の Acting Executive Assistant Director for Cybersecurity である Matt Hartman は、「これまでと同様に CISA は、このプログラムの継続的な有効性と価値を支えるための、戦略の再評価に非常に前向きであり続ける。さらに、今後においては、重要な取り組みが待ち受けている。CISA は、MITRE および CVE Board と連携し、コミュニティからのフィードバックを積極的に求め、CVE プログラムの運営に反映させることに尽力していく。CVE プログラムにとって必要な、安定性と革新性を生み出すために、民間部門と国際政府による包括的/積極的な参加と有意義な協力を、促進するために尽力している。そして、これらの目標を、共に達成することに尽力している。私たちは、この CISAのコミットメントに賛同し、25年にわたりサイバー・セキュリティ脆弱性情報に秩序をもたらしてきた CVE プログラムが、今後においても回復力を持ち、高い信頼性と革新性を評価されるよう、共に協力していくという、このコミットメントを支持する・・・」と記されていました。

また、メンバーとしては、以下の名前があがっていました:

  • Kent Landfield, CVE Board member and Chair of the CVE Strategic Planning Working Group
  • Lisa Olson, CVE Board member and Co-Chair of the CVE Tactical Working Group
  • Pete Allor, CVE Board member and Co-Chair of the CVE Vulnerability Conference and Events Working Group *
  • MegaZone, CVE Board member, Co-Chair of the CVE Quality Working Group, Co-Chair of the CVE Vulnerability Conference and Events Working Group, and CNA Liaison 
  • Tod Beardsley, CVE Board member and Chair of the CVE CNA Organization of Peers
  • Chandan Nandakumaraiah, CVE Board member, Ex-Chair of the CVE Quality Working Group, and Lead for Project Vulnogram
  • David Waltermire, CVE Board member and Co-Chair of the CVE Quality Working Group

よろしければ、以下のリストも、ご参照ください。

2025/04/16:CVE プログラムへの政府資金が終了:MITRE の懸念
2025/04/11:NIST NVD が運用体制を刷新:CVE バックログを解消
2025/03/19:NVD バックログの解消に苦戦:今後も停滞が続く見通し
2024/07/26:NVD のバックログ:渋滞解消は 2025年初頭という推測
2024/05/31:2024年9月までには軌道に乗ると発表
2024/05/30:外部への支援要請と契約締結について発表