CVE Foundationが発足。脆弱性に固有の番号を付与するCVEプログラムの長期的な安定性、独立性を確保

ソフトウェアの脆弱性に対して固有の番号を付与する「CVE」（Common Vulnerabilities and Exposures）プログラムを実行するための新たな非営利団体「CVE Foundation」の発足が発表されました。

CVEはソフトウェア脆弱性に番号を付与する

ソフトウェアに関する脆弱性の情報は、以前はソフトウェアベンダやセキュリティベンダがそれぞれ独自に名称や識別子を付けていました。この状況はユーザーやシステム開発者にとってセキュリティ対策を行う際の情報整理を困難にしていました。

そこで発足したのが、ソフトウェアの脆弱性について固有の番号を付与する「CVE」（Common Vulnerabilities and Exposures）プログラムです。

ソフトウェアが社会基盤として重要な位置を占めるようになった現在、CVEはグローバルなIT業界におけるソフトウェア脆弱性情報のカタログとして機能しており、セキュリティ対策において非常に重要な存在となりました。

米国国土安全保障省が資金提供契約を更新せず

CVEプログラムは開始以来25年間、米国国土安全保障省から資金提供を受けた非営利団体のMitre社が中心となって運営を担ってきました。

ところが米国国土安全保障省はMitre社への資金提供契約を更新しないことを現地時間の4月15日に通知、4月16日には契約が失効することが明らかとなります。

CVE Foundationの発足は、この状況を受けてのことです。

過去1年をかけてCVEを非営利財団へと移行する戦略を策定

CVE Foundationの発表によるとCVEの理事会は以前から、世界的に頼りにされているCVEプログラムが特定の政府からの資金提供に依存していることによる持続可能性と中立性について懸念していたとのことです。

そして過去1年をかけて、CVEを非営利財団へと移行するための戦略を策定してきたと説明し、今回の発表は現在の状況を予想して準備していたものであることを示唆しました。

下記はCVE Foundation発足のプレスリリースから。

While we had hoped this day would not come, we have been preparing for this possibility.（訳：私たちはこの日が来ないことを願いつつ、この可能性に備えてもきました）

今回設立されたCVE Foundationは、CVEプログラムの長期的な実行可能性、安定性、独立性を確保するために設立されたものであり、今後も高品質の脆弱性識別を提供することで、世界中のセキュリティ対策に当たる人たちにCVEデータの整合性と可用性を維持するという使命を継続することに専念するとしています。

The new CVE Foundation will focus solely on continuing the mission of delivering high-quality vulnerability identification and maintaining the integrity and availability of CVE data for defenders worldwide.

CVE Foundationは今後数日以内に、組織構成、移行計画、コミュニティによる関与などに関する詳細情報を公開予定とのことです。

追記：資金提供契約はぎりぎりで延長に

（2025/4/17 9:10追記）米国政府による資金提供契約はぎりぎりで延長が決定されたとThe Registerが報道。

• CVE program gets last-minute funding from CISA – and maybe a new home | The Register

米国国土安全保障省の外局であるCISA（Cybersecurity and Infrastructure Security Agency：米国サイバーセキュリティ・社会基盤安全保障庁）もCVEの運用が継続するように契約を延長したと発表しました。

pic.twitter.com/DYv4uKzLrq

— Cybersecurity and Infrastructure Security Agency (@CISAgov) April 16, 2025