CVEとは
CVE (Common Vulnerabilities and Exposures)*1は、 情報セキュリティにおける脆弱性やインシデントについて、それぞれ固有の名前や番号を付与し、 リスト化した事典*2です。
CVEが登場するまでは、各種製品ベンダーやセキュリティベンダーが、 脆弱性に対して独自に名前を付けていたため、各ベンダーが公表する脆弱性情報はばらばらで、 ある脆弱性情報が同じ問題についてのものなのかどうか、はっきり判別することは困難でした。 さらに、脆弱性のデータベースや対応ツールの相互互換性も、有効性に乏しいことになっていました。
そのような状況を改善するため、 米国政府の支援を受けた非営利団体のMitre Corporation (マイターコーポレーション)が、 1999年に脆弱性を一意に特定できるようCVEを提案・実装しました。 このCVEの登場によって、脆弱性の一つ一つに固有の名前、 およびCVE IDと呼ばれる固有の番号が付与されるようになりました。 その結果、ベンダーをまたいだ脆弱性情報の比較が、容易に行えるようになりました。
現在では、主要なベンダーなどから脆弱性情報が公開される際には必ずと言っていいほど、 CVEとCVE IDが付与された上で公開されています。 これまでに付与されたCVEとCVEIDの一覧については、 上記のMitre CorporationのWebサイト*3で閲覧できます。
*1 Common Vulnerabilities and Exposures (CVE)
http://cve.mitre.org/
*2 About CVE
http://cve.mitre.org/about/
*3 CVE IDs
http://cve.mitre.org/cve/
