共通脆弱性識別子CVE概説

CVE(Common Vulnerabilities and Exposures)
～一つ一つの脆弱性を識別するための共通の識別子～

• >> ENGLISH別ウィンドウで開く

共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)(*1)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社(*2)が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。

個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。

CVEは、1999年1月20日～22日に、アメリカのパーデュ大学で開催された2nd Workshop on Research with Security Vulnerability Databasesにおいて、脆弱性に関する情報共有のための方法としてMITRE社によって提案されました。
現在は、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)(*3)の構成要素のひとつとなっています。

MITRE社では、CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のない採番に努めています。

IPAとJPCERT/CCが共同で運営しているJVN(*4)、およびJVN iPedia(JVNDB)(*5)も、MITRE社と連携してCVE採番の枠組みに参加するため、JVNで公表する脆弱性に対するCVEの割り当てを申請することとし、2008年10月からはMITRE社が公表している「CVE情報源サイト」の一つとして公示されるようになりました。

• http://cve.mitre.org/data/refs/index.html#sources別ウィンドウで開く

CVEにはCVE互換認定の制度があり、脆弱性検査ツールや脆弱性対策情報提供サービス等がCVE識別番号の正確な表示、適切な関連付け、CVE識別番号による情報の検索などの機能要件を満たし、MITRE社へ申請するとCVE互換認定が受けられます。CVE互換認定を受けると、MITRE社のウェブサイトで紹介される、CVEのロゴが使用できる等のメリットがあります。

JVN、JVN iPedia、脆弱性対策情報収集ツールMyJVN(*6)も2010年1月にCVE互換認定を受けました。

• http://www.cve.mitre.org/news/index.html#jan082010a別ウィンドウで開く

本資料は、MITRE社から2007年12月6日に公開されたRequirements and Recommendations for CVE Compatibility別ウィンドウで開くバージョン1.1、および2007年5月21日に公開されたCVE Compatibility Process別ウィンドウで開くの資料を基に作成しました。詳細は、MITRE社の資料を参照下さい。

1. CVE識別番号(CVE-ID)

共通脆弱性識別子CVEでは、『プログラム上のセキュリティ問題』を一意に識別するために、脆弱性に対してCVE識別番号を付与します。

このCVE識別番号は「CVE-西暦-連番」と構成されており、セキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家で構成されるCVE Editorial Boardと呼ぶ機関が、報告のあった脆弱性を評価し割り当て作業を行っています。

JVNおよびJVN iPediaが公開している脆弱性対策情報にも、CVE識別番号が付与された情報が多数あります。例えば、情報セキュリティ早期警戒パートナーシップで届けられた脆弱性には、表1のようなCVE識別番号が割り当てられています。

表1. CVE識別番号とJVN、JVN iPediaのID対応例

• CVE別ウィンドウで開く
• JVN別ウィンドウで開く
• JVN iPedia別ウィンドウで開く

2. CVE識別番号管理サイト

CVE識別番号の割り当ては1999年から始まり、2008年12月末日現在、3万4千件を超える脆弱性にCVE識別番号が割り当てられています。

MITRE社では、これまで割り当ててきたCVE識別番号を「脆弱性の概要(Description)」「参考URL(References)」「ステータス(Status)」と共に、一覧としてCVE識別番号管理サイト(http://cve.mitre.org別ウィンドウで開く)から提供しています（図1）。

(1)脆弱性の概要(Description)

割り当てられたCVE識別番号に関する脆弱性の概要で、プログラム自身に内在する『プログラム上のセキュリティ問題』が、どのような問題であるかという内容が記載されています。

(2)参考URL(References)

割り当てられたCVE識別番号に関連する脆弱性関連情報の一覧で、CVE情報源サイトや製品開発ベンダサイトのURLなどがリストアップされています。図1の事例の場合、参考URL(References)の下段に、CVEの情報源サイトとしてJVN:JVN#30732239が登録されています。

(3)ステータス(Status)

割り当てられたCVE識別番号の進捗状態で、「候補(Candidate)」と「登録(Entry)」の二つがあります。「候補(Candidate)」は、割り当てられたCVE識別番号が脆弱性に該当するかどうかを検討中であることを示しています。「登録(Entry)」は、割り当てられたCVE識別番号が承認され、報告された内容が脆弱性であると判断されたことを示しています。

なお、識別番号の割り当てを開始した当初は、「候補(Candidate)」の状態にある識別子には「CAN-西暦-連番」、「登録(Entry)」の状態にある識別子には「CVE-西暦-連番」が付与されていましたが、2005年10月19日以降CANというプレフィックスを廃止され,表記上はすべて「CVE-西暦-連番」に統一されました。

3. CVE互換

CVEを利用した脆弱性対策を進めていく上で、脆弱性対策情報の相互参照や関連付けが適切に運用されることは重要なポイントです。

このため、CVEを利用している侵入検知ツール、脆弱性検査ツールや脆弱性対策情報提供サービスが適切な運用を行っていることを保証していく枠組みとして、CVE互換という認定制度があります。

CVE互換の認定では、侵入検知ツール、脆弱性検査ツールなどの製品だけではなく、侵入検知管理サービス、遠隔スキャンサービスなどの脆弱性対策サービスなども対象となっています。

CVE互換として認定されるためには、ツールやサービスが次のような要件を満たしている必要があります。また、すべての要件を満たさない限り、CVE互換を認定されたと公示してはならないという約束になっています。

• CVE検索：利用者がCVE識別番号を用いて脆弱性情報を検索できること。
• CVE表示：脆弱性情報を表示する際に、関連するCVE識別番号を表示すること。
• 対応付け：脆弱性情報には該当するCVE識別番号を適切に関連付けていること。
• CVE文書整備：CVEおよびCVE互換、CVE関連機能の実現方法についての文書を整備すること。
• 更新日：CVE識別番号との対応付けに関して更新日を明記すること。

2010年2月末日時点で、CVE互換の認定を受けた組織数は51、製品/サービス数は93、CVE互換の認定手続き中の組織数は94、製品/サービス数は168となっています。

3.1 CVE互換の認定プロセス

CVE互換の認定プロセスは、「宣言」「評価」の2ステップから構成されています。

(1)ステップ1：宣言

CVE互換の認定を希望する組織が、ツールやサービスがCVE互換の認定要件を満たすよう対応していくという意思表示のフェーズで、次のような手続きを行う必要があります。

• 既にCVE互換の認定を受けたツールやサービスを調査し、CVE互換の認定を受けるための要件と推奨事項を調査します。
• MITRE社に「CVE互換性宣言(CVE Compatibility Declaration)」フォームを請求した後、必要事項を記載し、返送します。
• MITRE社より「宣言フォーム(declaration form)」、「互換性製品サービス組織ウェルカムキット(Compatible Product Service Organization Welcome Kit)」が送付されてきますので、CVE互換の認定要件について確認します。
• 必須要件である、「CVE表示」「CVE検索」「CVE文書整備」の3条件を満たしている場合には、「CVE互換性要件評価(CVE Compatibility Requirements Evaluation)」フォームを取得でき、ステップ2のCVE互換の評価フェーズに進むことができます。

(2)ステップ2：評価

審査機関であるMITRE社から、CVE互換の認定を受けるための評価フェーズです。CVE互換の認定を希望する組織から提出された「CVE互換要件評価フォーム」（要件をどのように満たしているのかを詳細に記載した申請書）を元に、審査が行なわれます。

• ステップ1の完了時にMITRE社より取得した「CVE互換性要件評価(CVE Compatibility Requirements Evaluation)」フォームに必要事項を記載した後、印刷および署名した文書一式を郵送し、その電子データをメールで送付します。
• 提出された文書に基づき審査が行なわれ、認定登録のための関連情報がCVE識別番号管理サイトに掲載されます。また、MITRE社の指示に従い、登録に関する情報の修正を実施します。
• これらの作業がすべて終了すると、CVE識別番号管理サイトにCVE互換の認定を受けた組織として掲載され、また、ツールやサービスでのCVE互換の認定ロゴ使用許可が与えられることになります。

3.2 JVN、JVN iPediaおよびMyJVNの要件対応状況

JPCERT/CCおよびIPAでは、JVN、JVN iPedia、MyJVNを対象に、CVE互換の認定を受けるための各種機能やデータ整備作業を進め、2010年1月5日、CVE互換認定を受けました。

次のCVE識別番号管理サイトのページで紹介されています。

• http://www.cve.mitre.org/news/index.html#jan082010a別ウィンドウで開く
• http://cve.mitre.org/compatible/organizations.html#j別ウィンドウで開く
• http://cve.mitre.org/compatible/organizations.html#information_technology_promotion_agency_japan_ipa別ウィンドウで開く

ステップ1「宣言」で必須要件である「CVE検索」「CVE表示」「CVE文書整備」の3条件と、脆弱性情報には該当するCVE識別番号を適切に関連付ける「対応付け」については、表2に示す機能で実現しています。

表2.JVN、JVN iPedia、MyJVNでの要件対応状況

今後も、CVE情報源サイトとして脆弱性対策情報提供の連携に取り組んでいくと共に、グローバルなJVN、JVN iPedia、MyJVNの実現に向けた機能改善ならびに環境整備を図っていきます。

脚注

1. (*1)
   CVE:Common Vulnerabilities and Exposures。脆弱性を識別するための共通脆弱性識別子。

   • https://cve.mitre.org/別ウィンドウで開く
2. (*2)
   MITRE Corporation：米国政府向けの技術支援や研究開発を行う非営利組織。

   • https://www.mitre.org/別ウィンドウで開く
3. (*3)
   SCAP:Security Content Automation Protocol。米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様。

   • http://nvd.nist.gov/scap.cfm別ウィンドウで開く
4. (*4)
   JVN:Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援。

   • http://jvn.jp/別ウィンドウで開く
5. (*5)
   JVN iPedia:Vulnerability Countermeasure Information Database。脆弱性対策情報データベース。日本国内で利用されている製品の脆弱性対策情報を中心に公開・蓄積し、脆弱性対策情報の収集を支援。

   • https://jvndb.jvn.jp/別ウィンドウで開く
6. (*6)
   MyJVN:Filtered Vulnerability Countermeasure Information Tool。JVN iPediaの情報を利用者が効率的に活用するための脆弱性対策情報収集ツール。

   • https://jvndb.jvn.jp/apis/myjvn/別ウィンドウで開く