GCVE という新たな取組:CVE ID 管理を中央集権から分散へと向かわせる

GCVE: Decentralizing Vulnerability Identification for Greater Agility

2025/04/18 SecurityOnline — 新たな取り組みとして始動した Global CVE (GCVE) 割り当てシステムは、セキュリティ脆弱性の特定と、CVEID の採番という重要な作業に、分散型のアプローチを導入している。このシステムでは、独立した GCVE Numbering Authorities (GNA) が CVE ID を直接的に割り当てられるようになるため、従来の中央集権型の手法と比べて、より高い自律性と迅速さが期待されている。

GCVE は、既存の CVE プログラムと並行して機能するように設計されている。すべての標準 CVE に対しては、予約済みの GNA ID 0 で表すことで、シームレスな互換性を確保している。GCVE の主なメリットとして挙げられるのは、ユーザー組織自身による脆弱性管理プロセスの柔軟な設計/中央で生じるボトルネック排除によるスケーラビリティの向上/GNA 組織による分散管理などである。

GCVE の主な構成要素
  • GCVE Numbering Authorities (GNA):GNA は、GCVE 識別子を割り当てる権限を持つ、承認された組織である。それぞれの GNA には固有の数値 ID が付与され、この ID が GCVE 識別子のフォーマットに組み込まれる。GNA は高い自律性を持ち、独自のペースでの ID 割り当て/内部の脆弱性識別ポリシーの自身による定義/中央集権的な管理から独立した運用などを可能にする。
  • CVE との互換性: GCVE は、後方互換性のある ID スキーマを採用することで、既存の CVE との互換性を維持する。

GCVE 識別子は、構造化された4つの部分からなる形式に従っている:GCVE-<GNA ID>-<YEAR>-<UNIQUE ID>

  • GCVE:Global CVE ID であることを示すプレフィックス
  • GNA ID:割り当てた GNA の一意の識別子
  • YEAR:開示または割り当ての年
  • UNIQUE ID:GNA 独自の、一意の脆弱性識別子

Example mappings:

GCVE IDDescription
GCVE-0-2023-40224Existing CVE (CVE-2023-40224) mapped into GCVE format
GCVE-1-2025-00001using the GCVE allocation system
GCVE-5-2024-12345Vulnerability assigned by GNA with ID 5 in the year 2024

GCVE の目的は、既存の CVE システムを置き換えることではなく、拡張することにあり、互換性とスムーズな移行を確保している。GCVE の公式ページでは、「GCVE は、後方互換性のある ID 方式を使って、既存 CVE との互換性を維持している」と説明されている。

実際の運用において、すでに CVE 識別子に対応しているソフトウェアは、システム構成を大幅に変更することなく、そのまま GCVE をシームレスに統合できる。

GNA 組織に登録するためには、以下のいずれかの条件を満たす必要がある:

  • すでに CVE CNA (CVE Numbering Authority) であること。
  • FIRST.org/EU CSIRTs Network/TF-CSIRT などの、いずれかにより認定された CSIRT または CERT であること。
  • CPE (Common Platform Enumeration) が割り当てられ、定期的に脆弱性を開示しているベンダーであること。
  • 公開されている脆弱性情報プログラムを運営しており、開示データが誰でもアクセスできる状態であること。

また、GNA への登録申請には、以下のようなメタデータを含む、構造化された JSON 形式の提出が必要となる:

  • 組織の略称および正式名称
  • 公開脆弱性フィード/API/割り当てツールへの URL

GNA ID を申請したい場合は、gna@gcve.eu 宛にメールを送ることでリクエストできる。

GCVE の主なメリット
  • 分散型の割り当て:GNA が独自の識別子を管理するため、ブロック・リクエストの提出は不要である。
  • ポリシーの柔軟性:各組織が独自の開示・調整ルールを設定できる。
  • スケーラビリティ:中央 CVE レジストリのボトルネックを回避できる。
  • CVE 互換性:既存の CVE とのマッピングにより、移行時の摩擦が最小化される。
  • 自動化サポート:API と JSON フィードは https://gcve.eu で利用可能である。

脅威の増加やソフトウェア・サプライチェーンの国境を越えて広がる中で、中央集権型モデルでは対応が追いつかなくなる可能性がある。そのような時代の流れの中で、GCVE の取り組みは、責任をコミュニティ全体に分散し、開示スピードを加速し、脆弱性調整の近代化を推進するためのものとなる。そのうえ、セキュリティ・エコシステムが依存している CVE 標準を手放すことなく、拡張を実現できる点が大きな特徴である。

GCVE のリリースは、脆弱性管理の民主化に向けた重要な一歩であり、開示/防御/修正の最前線に立つ人々に、主導権を取り戻す動きだと言えるだろう。

この G-CVE という新たな取組ですが、URL などを見ると、EU からの提案のようです。話は飛んでしまいますが、最近のウクライナ情勢では USA vs. EU という対立が顕在化しており、それが、さまざまな局面へと影響しているとも考えられますが、そこまで妄想しなくても、CVE ID 管理を米国集権から分散へと向かわせるのは、とても良い動きだと思います。これまでの米国の努力に対して、世界から謝意を述べ、それを受ける形で、米国からグルーバル化に言及してもらうのが、一番スマートですね。よろしければ、以下のリストも、ご参照ください。

2025/04/16:CVE プログラムの未来を担う CVE Foundation
2025/04/16:CVE の危機が回避:CISA から MITRE への資金
2025/04/16:CVE プログラムへの政府資金が終了? MITRE が懸念
2025/04/11:NVD が体制を刷新:CVE バックログ解消に向けた改革
2025/03/19:NVD バックログの解消に苦戦:今後も停滞が続く?