search close

テーマ別対策
- 課題別
  - 課題別
    - 課題別
      詳しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象領域）の監視により、コンプライアンスに準拠します。
      詳しくはこちら
  - クラウドネイティブアプリケーションの保護
    - クラウドネイティブアプリケーションの保護
      
      クラウドネイティブなアプリケーションの開発スピードを阻害しないセキュリティを提供します。
      詳しくはこちら
  - ハイブリッドクラウド環境を保護
    - ハイブリッドクラウド環境を保護
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。
      詳しくはこちら
  - ボーダーレス環境をセキュアに
    - ボーダーレス環境をセキュアに
      
      ID、エンドポイント、メール、モバイル、Webを保護し、ユーザが使用するツールから生じるリスクを軽減します。
      詳しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工場フロアまで、ネットワーク全体を保護します。
      詳しくはこちら
  - より迅速な対応を実現
    - より迅速な対応を実現
      
      脅威の把握と対処を加速し、SOCおよびITセキュリティチームの負担を軽減します。
      詳しくはこちら
  - リソースの最適化
    - リソースの最適化
      
      積極的なリスク軽減対策とマネージドセキュリティサービスで効果を最大化します。
      詳しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを強化するために
      詳しくはこちら
- 役割別
  - 役割別
    - 役割別
      詳しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なCyber Risk Exposure Management、セキュリティソリューションにより、現在および未来のニーズを満たします。
      詳しくはこちら
  - SOC責任者
    - SOC責任者
      
      エンタープライズサイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象領域）のサイロ化、複雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      詳しくはこちら
  - ITインフラ責任者
    - ITインフラ責任者
      
      セキュリティを進化することで、より少ないリソースでより多くの保護を実現し、脅威を迅速かつ効果的に軽減します。
      詳しくはこちら
  - クラウド構築者・開発者
    - クラウド構築者・開発者
      
      セキュリティを強化しながら、革新的なアプリケーションをオンタイムで提供できます。
      詳しくはこちら
  - クラウド運用者
    - クラウド運用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの複雑さを解決し、コンプライアンス順守を支援します。
      詳しくはこちら
- 業種別
  - 業種別
    - 業種別
      詳しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      ICT化や電子カルテの普及が進む中、閉じた環境での緩やかな境界防御ではなく、場面に応じたリスクマネジメントを実践していく必要があります。
      詳しくはこちら
  - 自治体
    - 自治体
      
      住民個人情報や企業経営情報などの保護に充分な対策がとられた行政業務と住民サービスが求められています。
      詳しくはこちら
  - 学校・教育委員会
    - 学校・教育委員会
      
      教育の現場におけるPCやインターネットの活用はさらなる普及が見込まれます。職員や生徒に安心安全な環境を提供しましょう。
      詳しくはこちら
  - 教育・大学
    - 教育・大学
      
      個人情報のみならず、先端技術情報など機微情報も保護する必要があります。ニューノーマル時代のICT環境セキュリティについてご紹介いたします。
      詳しくはこちら
  - 製造業
    - 製造業
      
      工場のIoT化が進むにつれてセキュリティリスクも高まっています。安全性や製品品質が重視される工場におけるセキュリティについてご紹介いたします。
      詳しくはこちら
  - 金融
    - 金融
      
      Fintechをはじめとしたサービス領域の拡大とともに、適切な情報管理と安定したサービス提供がより重要性を増しています。
      詳しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自動車へのセキュリティ対策が求められています。車両からモバイルネットワーク、バックエンドに至る自動車のエコシステム全体を保護することが重要です。
      詳しくはこちら
  - 5G
    - 5G
      
      企業で5Gを活用した新たなネットワーク導入が進んでいます。5G/ローカル5Gシステムを保護するエンドツーエンドのサイバーセキュリティをご紹介します。
      詳しくはこちら
- 中堅・中小企業向けセキュリティ
  - 中堅・中小企業向けセキュリティ
    
    最新の技術と少ない人的リソースで、最新の脅威から防御
    詳しくはこちら
製品・ソリューション
- エンタープライズサイバーセキュリティプラットフォーム
  - エンタープライズサイバーセキュリティプラットフォーム
    - Trend Vision One
      
      エンタープライズサイバーセキュリティプラットフォーム
      
      EDRを進化させたXDRでIT環境、OT環境を保護
      詳しくはこちら
  - Trend Companion
    - Trend Companion
      
      AIサイバーセキュリティアシスタント
      詳しくはこちら
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    
    潜在的なリスクの可視化によるインシデントの予防
    詳しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    脅威の全体像を可視化し、的確なインシデント対応を可能に
    詳しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保護を提供し、開発者・セキュリティチームをはじめ、企業にとって最も信頼できるクラウドセキュリティプラットフォーム
      詳しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      詳しくはこちら
  - Conformity:クラウドの設定状況を可視化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ維持とコンプライアンス対応
      詳しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自動的にスキャン、セキュアなCI/CDパイプラインを実現
      詳しくはこちら
  - File Security:クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な脅威から保護
      詳しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
      詳しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - Trend Micro Deep Security™
      
      物理・仮想・クラウド環境のサーバ保護
      詳しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Micro Apex One（EPP）
    - Trend Micro Apex One（EPP）
      
      多層の機能によりエンドポイントを強固に保護
      詳しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技術と少ない人的リソースで、最新の脅威から防御
      詳しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの脅威に対するオンプレミスおよびSaaSによる保護
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      詳しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応によるXDRの実現
      詳しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知・未知の脆弱性からネットワークを守る
      詳しくはこちら
  - 標的型攻撃対策
    - 標的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展開を試みる標的型攻撃の検知、インシデントレスポンスをサポート
      詳しくはこちら
  - ゼロトラスト/SWG/CASB
    - ゼロトラスト/SWG/CASB
      
      継続的なリスク評価で「信頼」を再定義し、デジタルトランスフォーメーションを保護
      詳しくはこちら
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
  - 5Gネットワークセキュリティ
    - 5Gネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5Gネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、標的型攻撃を阻止
      詳しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One™
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      詳しくはこちら
- OTセキュリティ
  - OTセキュリティ
    - OTセキュリティ
      
      サイバーセキュリティによりOT環境の整合性、安全性、稼働時間を維持
      OTセキュリティ
  - ICS/OTセキュリティ
    - ICS/OTセキュリティ
      
      工場などのOT環境の継続的な安定稼働を実現
      ICS/OTセキュリティ
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
- Identity Security
  - Identity Security
    
    アイデンティティを包括的に保護
    詳しくはこちら
- ソブリンアンドプライベートクラウド
  - Trend Vision One Sovereign and Private Cloud
    
    データ主権を損なうことなく、防御、検知、対応、保護を実現
    詳しくはこちら
- 製品一覧・体験版
  - 製品一覧・体験版
    詳しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      詳しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      詳しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      詳しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      詳しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      詳しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      詳しくはこちら
  - サイバーリスクインデックス（CRI）
    - サイバーリスクインデックス（CRI）
      詳しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      詳しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24時間365日監視するMDRサービスや、インシデント発生時の対処など包括的なエキスパートサービスを提供
      詳しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視
      詳しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや標的型攻撃等の被害に遭われた際、インシデント対応の専門家が一刻も早い業務復旧に向けた支援を実施
      詳しくはこちら
パートナー
- パートナーになる
  - パートナーになる
    - パートナーになる
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      詳しくはこちら
  - MSPパートナー
    - MSPパートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - CSPパートナー
    - CSPパートナー
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      Marketplaceを活用したビジネス展開のためのパートナープログラムをご紹介します
      詳しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最適化できるよう最善の支援を提供します。
    詳しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの課題解決やパートナーエコシステムにおける強み・サービス・事例など、パートナー各社の特色をご紹介します
      詳しくはこちら
  - MSPパートナーを探す
    - MSPパートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - CSPパートナーを探す
    - CSPパートナーを探す
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「Trend Micro マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      詳しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご紹介します
      詳しくはこちら
  - パートナープログラムのご紹介
    - パートナープログラムのご紹介
      
      パートナーさま向け各支援プログラムをご紹介します
      詳しくはこちら
  - パートナーポータルのご紹介
    - パートナーポータルのご紹介
      
      登録制のWebサイト「パートナーポータル」ではパートナーさまの販売活動にご活用いただけるコンテンツをご用意しております。
      詳しくはこちら
  - 流通パートナー
    - 流通パートナー
      詳しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご紹介します
      詳しくはこちら
会社概要
- Why Trend Micro
  - Why Trend Micro
    - Why Trend Micro
      詳しくはこちら
  - トレンドマイクロの特長
    - トレンドマイクロの特長
      詳しくはこちら
  - 導入事例
    - 導入事例
      詳しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      詳しくはこちら
  - 業界における評価
    - 業界における評価
      詳しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      詳しくはこちら
  - セキュリティへの取り組み
    - セキュリティへの取り組み
      詳しくはこちら
  - 企業理念・沿革
    - 企業理念・沿革
      詳しくはこちら
  - サイバーセキュリティ・イノベーション研究所
    - サイバーセキュリティ・イノベーション研究所
      サイバーセキュリティ・イノベーション研究所
  - ダイバーシティ・エクイティ＆インクルージョン
    - ダイバーシティ・エクイティ＆インクルージョン
      詳しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      詳しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      詳しくはこちら
  - 子ども・保護者向けセキュリティ教育
    - 子ども・保護者向けセキュリティ教育
      詳しくはこちら
  - NEOMマクラーレンフォーミュラE
    - NEOMマクラーレンフォーミュラE
      詳しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      詳しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      詳しくはこちら
- ニュース、投資家向け情報、採用情報
  - ニュース、投資家向け情報、採用情報
    - ニュース、投資家向け情報、採用情報
      詳しくはこちら
  - プレスリリース
    - プレスリリース
      詳しくはこちら
  - 投資家向け情報
    - 投資家向け情報
      詳しくはこちら
  - 採用情報
    - 採用情報
      詳しくはこちら
  - イベント・セミナー
    - イベント・セミナー
      詳しくはこちら
  - ウェビナー
    - ウェビナー
      詳しくはこちら
  - お知らせ
    - お知らせ
      詳しくはこちら

個人のお客さまはこちら

お問い合わせ

購入・更新

サポート

リソース

ログイン

arrow_back

search close

CVE(Common Vulnerabilities and Exposures)

CVE(Common Vulnerabilities and Exposures)とは

CVE(Common Vulnerabilities and Exposures)とは、脆弱性を標準化するための識別子です。サイバーセキュリティ業界では広く使われており、脆弱性の共有や管理のために利用されています。

CVEの概要
CVEのスコアの意味と検索方法
CVEとJVN
脆弱性対応にCVEの活用を進めていくためには
CVEについての関連情報

CVEの概要

CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）は、サイバーセキュリティの分野で広く使用されている重要な概念です。この標準化された命名規則は、ソフトウェアやハードウェアに存在する脆弱性を識別するために使用されます。CVEの主な目的は、脆弱性情報の共有や管理を容易にして、各組織のセキュリティ対策の向上を図ることにあります。

CVEの根幹は、各脆弱性に対して一意の識別子（CVE-ID）を付与することにあります。この識別子によって、脆弱性に関する情報を統一的に管理することができ、異なる関係者が同じ脆弱性について共通の理解を持つことができます。

例えば、ある脆弱性がCVE-2021-44228として識別された場合、誰もが同じ脆弱性を指していることが明確になります。この識別子があれば混乱を避けることができるので、システムに対するセキュリティパッチの適用に関する情報交換などは、基本的にCVE-IDをベースにして行われます。なお、CVE-2021-44228は、広く影響があったApache Log4jで任意のコード実行が可能になる脆弱性です。

特にCVEの重要な役割として、以下の点が挙げられます：

1. 標準化：世界中で統一された形式を使用することで、国際的な脆弱性情報の共有が容易になります。
2. 一意性：各脆弱性に固有の識別子が付与されるため、混同のリスクが大幅に減少します。
3. 包括性：ソフトウェア、ハードウェア、ファームウェアなど、幅広いIT製品やシステムの脆弱性がカバーされています。
4. 公開性：CVE情報は一般に公開されており、誰でもアクセスが可能です。

CVEは、1999年にMITRE社によって導入されました。この時期は、インターネットの急速な普及に伴い、サイバーセキュリティの重要性が飛躍的に高まっていた時代です。CVE導入以前は、脆弱性情報の共有や管理に関して、各組織や企業が独自の方法で脆弱性を記録・管理していたため、異なるツール間での連携が困難になっていました。CVEは脆弱性管理の業界標準となることで、異なるツール間でも容易に相互運用できることになり、今までよりもスムーズに脆弱性対策が可能になりました。2024年10月現在、24万を超えるCVEが登録されており、脆弱性データベース、セキュリティ報告書、パッチ管理システムなど、様々な場面で使用されています。

MITREは、米国の連邦政府による資金提供で運営されている非営利組織です。
本機関は、特定のサイバー攻撃者グループ毎に過去に行われた攻撃方法を纏めています。また、共通脆弱性識別子「CVE」を採番しているのもこの機関です。
2025年4月15日（現地時間）、海外のメディアは、米国の連邦政府による資金提供が停止される旨を報じ、サイバーセキュリティ業界に大きな衝撃が走りました。
その後、一両日中にサイバーセキュリティ・インフラストラクチャ安全保障庁（CISA：Cybersecurity and Infrastructure Security Agency）が、MITREとの契約を延長した旨を発表しました。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
【CISAの発表内容】
“The CVE Program is invaluable to the cyber community and a priority of CISA.
Last night, CISA executed the option period on the contract to ensure there will be no lapse in critical CVE services.
We appreciate our partners’ and stakeholders’ patience.“

日本語訳：CVEプログラムはサイバーコミュニティにとって非常に価値があり、CISAの優先事項です。
昨夜、CISAは契約を延長し、CVEサービスに中断がないことを保証しました。
パートナーやステークホルダーに感謝を申し上げます。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

トレンドマイクロでは、米国連邦政府によるMITREとの契約延長を受け、CVEの管理や脆弱性に対する検出および保護能力に影響が生じることはないと考えています。
トレンドマイクロは、CVEプログラムコミュニティのメンバーとして、MITREおよびサイバーセキュリティのパートナーと引き続き連携することでお客様を保護してまいります。

CVE-IDの基本的な形式は【CVE-[年]-[番号]】の表記です。例えば、2014年に発覚したOpenSSLの脆弱性で知られる「Heartbleed」はCVE-2014-0160が振られていますが、これは「2014年に登録された」「160番目の脆弱性」と読み取れます。

図：「2014年に登録された」「160番目の脆弱性」の解説イメージ

CVEのスコアの意味と検索方法

CVEそのものは脆弱性の識別子ですが、各CVEにはCVSS（Common Vulnerability Scoring System：共通脆弱性の深刻度評価）スコアが関連付けられています。CVSSは脆弱性の深刻度を数値化したもので、0.0〜10.0の数値で表されます。

CVSSスコアの意味は以下のように解釈されます：

• 0.0 - 3.9：低リスク
• 4.0 - 6.9：中リスク
• 7.0 - 8.9：高リスク
• 9.0 - 10.0：極めて高いリスク

このスコアからCVSSは組織で脆弱性対応を行う際の優先順位付けのための判断材料として活用されています。例えば「Log4shell」として知られている脆弱性CVE-2021-44228は、最高値であるCVSSスコア10.0（CVSS v3）を記録しており、この脆弱性が極めて深刻であり、即座に対処する必要があることを示しています。

また、2023年には最新バージョンとしてCVSS v4.0がリリースされており、ITシステムだけではなく、ICSやIoTのような、いわゆるOT環境で稼働するシステムが持っている脆弱性の深刻度としても参照しやすくなっています。

CVSSの詳細についてはこちらの記事をご参照ください。
CVSSとは | トレンドマイクロ (JP) (trendmicro.com)

以下のような公開データベースでCVE番号を検索することでCVSSのスコアや脆弱性の詳細等を参照することができます。

【CVE公式ウェブサイト】

ページ内の検索ボックスにCVE-IDを入力することで、脆弱性情報を参照できます。CVE-IDのリクエストについてもこのサイトから行うことができます。

図：CVE公式ウェブサイト

【National Vulnerability Database】

NIST（National Institute of Standards and Technology：米国立標準技術研究所）が運営するデータベースです。CVE-ID、ベンダー名、製品名による検索に加えて、脆弱性の公開日やCVSSのスコアなどを使った絞り込み検索もできます。

図：National Vulnerability Database

CVEとJVN

JVN（Japan Vulnerability Notes：日本における脆弱性情報）は、日本の情報処理推進機構（IPA）と情報通信研究機構（NICT）が共同で運営する脆弱性情報データベースです。CVE関連のデータベースの多くは英語で提供されていますが、JVNは日本語で脆弱性について解説されているため、日本のユーザにとってもアクセスしやすい情報になっています。また、補完的な役割も担っており、JVNは、CVEの情報を基に、日本のユーザにとって特に重要な追加情報や解説を提供しています。

JVNの各脆弱性情報にはCVE-IDが付与されており、国際的な脆弱性情報との整合性が保たれています。JVNの情報からCVEデータベースへのリンクが提供され、逆にCVEからJVNへの参照も可能になっています。

図：JVNにおけるLog4shellの解説ページ

CVEとJVNを併用することで、グローバルな脆弱性情報と日本固有の状況を両立させた、より包括的な脆弱性情報を手に入れることが可能になります。

脆弱性対応にCVEの活用を進めていくためには

CVEの情報は、脆弱性対策を進める上で非常に重要ですが、その膨大な数をすべて把握することは現実的ではありません。記載されている脆弱性の影響度や重要度は、必ずしもすべての組織や環境に当てはまるわけではないため、自社の環境における具体的なリスクを分析することが重要です。

限られたリソースで脆弱性の対応を進める際には、どの脆弱性が最も影響を与えるかを評価し、優先順位をつける必要があります。この判断の結果、同じ脆弱性に対しても、組織によって対応方法は大きく異なることがあります。脆弱性を修復するのか、緩和するのか、受け入れるのかなど、状況に応じた判断が求められ、これらの判断は一様ではなく、各組織の方針やリスク許容度に基づいて行われます。

そのため、組織は自社に適した脆弱性管理プロセスを確立し、継続的に見直すことが求められます。これにより、脆弱性への対応が体系的かつ効果的に行えるようになります。CVEは脆弱性管理において重要なツールですが、単に情報を収集するだけでは不十分であり、自社の環境におけるリスクを理解し、適切な対応を計画することが、効果的な脆弱性対策の鍵となります。