CVE

CVEとは、日本語では「共通脆弱性識別子」などと訳されます。簡単にいうと、ソフトウェアやシステムに見つかった脆弱性を一つひとつ識別するための“整理番号”のようなものです。

例えば、「CVE-年（YYYY）-通し番号（XXXXX）というように、発見された年と通し番号で構成された一意のIDが付けられます。この番号があることで、世界中のセキュリティ関係者が「同じ脆弱性の話をしている」ことが明確になります。製品名や影響範囲、深刻度といった情報も、CVE番号をもとに確認できます。

CVEを管理しているのは、アメリカのMITRE（マイター）という非営利の研究機関です。セキュリティベンダーやソフトウェア開発者などが脆弱性を報告し、それが審査・承認されると、CVE番号が付与されます。脆弱性が世の中に知られる「公式な第一歩」ともいえますね。

CVEの登録自体は、脆弱性の“発見”を証明するものであり、解決策までは含まれていません。ただ、CVEをきっかけにして、その脆弱性に対応するパッチ（修正プログラム）や対策情報が各社から発信されていきます。

セキュリティ診断の現場では、CVEがよく使われます。「このシステムには、CVE-YYYY-XXXXXの影響がある」といった形で、リスクの根拠を示すためです。また、脆弱性の深刻度を数値で評価する「CVSS（共通脆弱性評価システム）」とセットで使われることもあります。

CVEは専門的な用語に見えるかもしれませんが、実はとても実用的な仕組みです。関係者の間で「どこが危ないか」を共通の言葉で伝えるための道具として、日々のセキュリティ対策を支えています。CVEを見かけたときは、ぜひ番号の意味を少しだけ考えてみてはいかがでしょうか。