CVE
定義
CVE(Common Vulnerabilities and Exposures)は公開されたソフトウェア・ハードウェアの脆弱性に付与される一意の識別番号で、「CVE-[年号]-[連番]」の形式(例:CVE-2024-3400)を使います。MITRE Corporationが管理し、主要ベンダー・研究機関などのCNA(CVE Numbering Authority:認定発番組織)がCVE番号を割り当てます。NVD(National Vulnerability Database:NIST管理)でCVSSスコア・影響するソフトウェア・対策情報・参考リンクとともに公開されます。CVE番号で脆弱性を一意に参照できるため、パッチ・セキュリティアドバイザリ・エクスプロイトコード・脅威インテリジェンスの共有に共通言語として機能します。2024年は年間4万件超のCVEが登録されており、CISAのKEV(Known Exploited Vulnerabilities:実際に悪用が確認されたCVEリスト)とEPSS(悪用確率スコア)を組み合わせた優先対応が現実的な脆弱性管理に不可欠です。
関連用語
同じカテゴリの用語(フレームワーク)
脆弱性の深刻度を0〜10のスコアで表す業界標準指標。基本値・現状値・環境値の3つのスコアで構成。9以上が「緊急(Crit…
情報セキュリティ管理システム(ISMS)の国際規格。リスクベースのアプローチで情報資産を保護する管理体制を構築・運用・評…
実際に観測された攻撃者のTTP(戦術・技術・手順)を体系的にまとめたナレッジベース。14のタクティクスと200以上のテク…
NIST(米国標準技術研究所)が発行するサイバーセキュリティの管理フレームワーク。バージョン2.0では「統治・特定・防御…
Open Web Application Security Projectが発行するWebアプリの最重要脆弱性Top 1…
Lockheed Martinが提唱する攻撃フェーズモデル。偵察→武器化→配送→エクスプロイト→インストール→C2→目的…