米国政府からの支援打ち切りを受け、CVE財団が発足 CVEプログラムの長期的な存続など狙い：信頼性と継続性を確保する新体制へ

CVE Foundation（CVE財団）の設立が発表された。設立目的は、「25年間にわたって世界のサイバーセキュリティインフラの重要な柱として機能してきたCVEプログラムの長期的な存続性、安定性、独立性を確保する」ことだ。

[＠IT]

　2025年4月16日（米国時間、以下同）、CVE Foundation（CVE財団）の設立が発表された。設立目的は、「25年間にわたって世界のサイバーセキュリティインフラの重要な柱として機能してきたCVE（Common Vulnerabilities and Exposures：共通脆弱《ぜいじゃく》性識別子）プログラムの長期的な存続性、安定性、独立性を確保する」ことだ。

　CVEプログラムは創設以来、米国政府の資金提供による取り組みとして運営され、契約に基づいて監督と管理が行われてきた。

CVEを支える組織的取り組み

　CVEは、米国連邦政府の支援を受けている非営利組織MITRE（The MITRE Corporation）が管理しており、2025年4月現在、新しい脆弱性情報が公開される際は、「CVE識別番号（CVE-ID）」が割り振られて一緒に公開される。多くのセキュリティ検査ツールやパッチ管理ツールなどでは、セキュリティ情報としてこのCVE-IDが利用されている。CVE-IDの割り当ては、MITREがメインになっている「CNA（CVE Numbering Authority：CVE採番機関）」が実施している。

　こうしたCVEプログラムの運営、管理の体制は、このプログラムの成長を支えてきたが、CVE理事会のメンバーからは長年、世界で広く利用されているリソースが単一の政府スポンサーに依存していることについて、持続可能性と中立性への懸念が出ていた。

　2025年4月15日に発行されたMITREからCVE理事会への書簡により、米国政府がCVEプログラムの管理契約を更新しない意向であることが通知され、この懸念が差し迫った問題となった。

　だが、CVE理事会のメンバーの間では、米国政府からの支援への依存に関する懸念を踏まえ、この1年間、政府との契約の打ち切りに備え、CVEプログラムを非営利財団に移管する戦略の策定が進められてきた。新しいCVE財団は世界のサイバー防御者のために、質の高い脆弱性情報の提供と、CVEデータの完全性と可用性の維持というミッションの継続に特化して取り組む方針だ。

　CVE財団の役員を務めるケント・ランドフィールド氏は、「世界のサイバーセキュリティ担当者は、セキュリティツールやアドバイザリーから、脅威インテリジェンスや対応に至るまで、日々の業務の一環としてCVEデータに依存している。CVEがなければ、防御者は世界的なサイバー脅威に対して著しく不利な立場に置かれることになる」と述べている。

　CVE財団の設立は、脆弱性管理エコシステムにおける単一障害点を排除し、CVEプログラムが、世界的に信頼されるコミュニティー主導の取り組みとして継続されるための重要なステップだと、財団は述べている。国際的なサイバーセキュリティコミュニティーにとって、この動きは、今日の脅威状況のグローバルな性質を反映したガバナンスを確立する機会となるとしている。

　CVE財団は数日中に、組織体制、移行計画、広範なコミュニティーからの参加の機会について、詳細情報を公開する予定だ。