対象試験と出題頻度
CVE(共通脆弱性識別子)は、応用情報技術者で出題されることがあるテーマです。
脆弱性管理に関する問題でCVSSとセットで登場することが多いので、両者の違いを押さえておきましょう。
詳細をクリックして確認
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)とは、一言で言うと
「世界中の脆弱性に一意の識別番号を割り当て、共通の名前で呼べるようにする仕組み」
のことです。
イメージとしては、「脆弱性のマイナンバー」のようなものです。
日本国民一人ひとりにマイナンバーが割り当てられているように、世界中で発見された脆弱性一つひとつに「CVE-2024-XXXXX」のような番号が付与されます。
この番号があれば、言語や国が違っても「同じ脆弱性について話している」ことが明確になります。
情報処理試験を勉強していると、「CVEとCVSSって似てるけど何が違うの?」という疑問が浮かびがちです。結論から言うと、CVEは脆弱性の「名前(識別番号)」、CVSSは脆弱性の「深刻度(スコア)」です。人に例えれば、CVEが「氏名」、CVSSが「健康診断の結果」のようなものです。
📊 CVEの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Common Vulnerabilities and Exposures |
| 日本語名 | 共通脆弱性識別子 |
| 管理組織 | MITRE社(米国の非営利団体) |
| 番号形式 | CVE-[年]-[連番](例:CVE-2024-12345) |
| 目的 | 脆弱性を一意に識別し、情報共有を円滑にする |
解説
CVEは、世界中で発見されるソフトウェアの脆弱性に対して、重複のない一意の識別番号を付与する仕組みです。
この番号があることで、セキュリティベンダー、研究者、システム管理者が同じ脆弱性について正確に情報を共有できるようになります。
CVEがなぜ必要なのか
CVEが登場する以前は、同じ脆弱性に対して各ベンダーや組織が独自の名前を付けていました。例えば、あるベンダーが「脆弱性A」と呼んでいるものを、別のベンダーは「セキュリティホールX」と呼んでいた、ということがありました。
これでは「同じ脆弱性の話をしているのか」がわかりにくく、情報共有に支障をきたします。CVEは、この問題を解決するために1999年にMITRE社が中心となって策定されました。
💡 CVEのメリット
・世界共通の識別子で脆弱性を特定できる
・異なるベンダーやツール間で情報を正確に共有できる
・脆弱性データベース(NVD、JVN等)で横断的に検索できる
・パッチ情報や対策情報との紐付けが容易になる
CVE番号の読み方
CVE番号は「CVE-年-連番」という形式で構成されています。番号の読み方を理解しておくと、脆弱性情報を見るときに役立ちます。
📊 CVE番号の構成
| 構成要素 | 説明 | 例 |
|---|---|---|
| 接頭辞 | 「CVE」という固定文字列 | CVE |
| 年 | 脆弱性が登録(または公開)された年 | 2024 |
| 連番 | その年に割り当てられた一意の番号(4桁以上) | 12345 |
例:CVE-2024-12345
年の部分は「脆弱性が発見された年」ではなく「CVE番号が割り当てられた(または予約された)年」を示します。
発見から公開までに時間がかかる場合、実際に脆弱性が発見された年と異なることがあります。
CVE番号が割り当てられるまでの流れ
CVE番号は、誰でも自由に付けられるわけではありません。MITRE社から認定されたCNA(CVE Numbering Authority:CVE採番機関)が番号を割り当てます。
📌 CVE番号割り当ての流れ
1. 脆弱性の発見:研究者やベンダーが脆弱性を発見
2. CNAへの報告:発見者がCNA(MITRE、ベンダー等)に報告
3. CVE番号の予約:CNAがCVE番号を割り当て(予約)
4. 脆弱性情報の公開:対策が整った後、CVE番号とともに公開
日本では、JPCERT/CCやIPA、一部の大手ベンダーがCNAとして認定されています。試験ではこの詳細な流れまでは問われませんが、「CNAが番号を割り当てる」という点は知っておくとよいでしょう。
CVEとCVSSの違い(試験で重要!)
試験では、CVEとCVSSの違いを問われることがあります。両者は名前が似ていますが、役割がまったく異なります。
📊 CVEとCVSSの比較
| 項目 | CVE | CVSS |
|---|---|---|
| 正式名称 | Common Vulnerabilities and Exposures | Common Vulnerability Scoring System |
| 日本語名 | 共通脆弱性識別子 | 共通脆弱性評価システム |
| 目的 | 脆弱性を識別する | 脆弱性の深刻度を評価する |
| 表記形式 | CVE-2024-XXXXX | 0.0〜10.0のスコア |
| 例え | 病気の「名前」 | 病気の「重症度」 |
脆弱性情報では「CVE-2024-XXXXX(CVSSスコア:9.8)」のように、CVEとCVSSがセットで表示されるのが一般的です。
CVEで「どの脆弱性か」を特定し、CVSSで「どのくらい危険か」を判断する、という使い分けです。
📝 試験対策の覚え方
CVE = 識別(Identification):「どの脆弱性か」を示す番号
CVSS = 評価(Scoring):「どのくらい深刻か」を示すスコア
CVEの「E」はExposures(露出=脆弱性)、CVSSの「S」はScoring(評価)と覚えると区別しやすいです。
CVEの活用場面
CVEは、セキュリティ関連のさまざまな場面で活用されています。
📌 CVEの活用例
脆弱性データベース:NVD(米国)、JVN(日本)などでCVE番号をもとに検索
セキュリティ製品:脆弱性スキャナや監視ツールがCVE番号で脆弱性を識別
パッチ情報:ベンダーがCVE番号を明記して修正パッチをリリース
セキュリティアドバイザリ:注意喚起にCVE番号を記載して対象を明確化
⚠️ 実務でのポイント
システム管理者は、使用しているソフトウェアに関するCVE情報を定期的にチェックすることが重要です。CVE番号がわかれば、NVDやJVNで詳細情報を検索し、CVSSスコアで優先度を判断し、ベンダーのパッチを適用する、という一連の対応が可能になります。試験ではここまで詳しく問われませんが、実務では基本的なスキルです。
試験ではこう出る!
CVEは、脆弱性管理に関する問題で登場することがあります。以下のポイントを押さえておきましょう。
【頻出キーワード】
- Common Vulnerabilities and Exposures(共通脆弱性識別子)
- 脆弱性に一意の識別番号を割り当てる
- MITRE社が管理する国際的な仕組み
- CVE-年-連番の形式(例:CVE-2024-12345)
- CVEは「識別」、CVSSは「評価」
試験問題で「脆弱性に一意の識別番号を付与する仕組み」や「脆弱性を共通の名前で識別するための国際的な命名規則」といった記述があれば、それは「CVE」に関する記述です。
📝 IPA試験での出題パターン
CVEの問題は、「CVEの説明として適切なものを選べ」「脆弱性の識別に使用される仕組みとして適切なものを選べ」といった形式が考えられます。
CVSSとの違いを問う問題も出題される可能性があるので、「識別=CVE」「評価=CVSS」という区別を覚えておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. CVE(共通脆弱性識別子)に関する説明として、最も適切なものはどれでしょうか?
- A. 脆弱性の深刻度を0.0〜10.0のスコアで評価し、対応優先度の判断に活用される国際的な基準
- B. 日本国内で使用されるソフトウェアの脆弱性情報を収集・公開するポータルサイト
- C. 世界中の脆弱性に一意の識別番号(CVE-年-連番)を割り当て、共通の名前で識別できるようにする仕組み
正解と解説を見る
正解:C
解説:
CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)は、世界中で発見されるソフトウェアの脆弱性に対して、一意の識別番号を割り当てる仕組みです。米国のMITRE社が管理しており、「CVE-2024-12345」のような形式で番号が付与されます。この番号があることで、異なるベンダーや国の間でも同じ脆弱性について正確に情報を共有できます。
選択肢Aは「CVSS(共通脆弱性評価システム)」の説明です。CVSSは脆弱性の深刻度をスコアで評価する仕組みであり、CVEとは役割が異なります。選択肢Bは「JVN(Japan Vulnerability Notes)」の説明です。JVNはJPCERT/CCとIPAが共同運営する日本向けの脆弱性情報ポータルサイトです。
