Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
セキュリティチームは毎日、新たなソフトウェアの脆弱性が殺到する状況に直面しています。2025年だけでも、24時間に130件以上が公表されています。これらの脆弱性を命名・追跡するための共通システムがなければ、防御担当者は、2つのアドバイザリが同じバグについて記述しているかどうかを判断するだけで、貴重な時間を浪費することになってしまいます。 その共有システムこそがCVEであり、その仕組みを理解することは、あらゆる現代的な脆弱性管理プログラムの基礎となります。本ガイドでは、CVEの意味、識別子の割り当て方法、関連する標準規格のエコシステム、そしてプログラム全体をほぼ停止させかけた2025年の資金難について解説します。SOCでアラートの優先順位付けを行っている場合でも、監査のために統制措置をマッピングしている場合でも、ここで得られる情報は、日々のCVEデータの活用方法をより的確なものにするでしょう。
CVE(Common Vulnerabilities and Exposures)は、公開されたサイバーセキュリティの脆弱性に固有のIDを割り当てる標準化された識別システムであり、セキュリティチーム、ベンダー、研究者が、世界中のツールや組織を横断して特定の欠陥を追跡、議論、修正するための共通言語を提供します。
MITRE社は、米国国土安全保障省(DHS)およびサイバーセキュリティ・インフラセキュリティ庁(CISA)からの資金提供を受け、1999年にCVEシステムを構築しました。 CVEが導入される前は、単一の脆弱性であっても、スキャナー、アドバイザリ、パッチ情報によって異なる名称が付けられることがありました。この不整合により、チーム間の連携は遅延し、ミスが生じやすくなっていました。CVEは、脆弱性ごとに1つの標準的な識別子(参照番号)を提供することでこの問題を解決しました。これにより、あらゆるツール、ベンダー、アナリストが、その脆弱性を明確に特定できるようになりました。
このプログラムの規模は、問題の規模を反映している。ジェリー・ガンブリン氏の「2025年CVEデータレビュー」によると、2025年には過去最多となる48,185件のCVEが公開され、2024年の39,962件から20.6%増加した。累積登録件数は現在308,000件を超えている。この増加は、攻撃対象領域の拡大と、脆弱性データを体系的に管理する上でCVEが果たす極めて重要な役割の両方を浮き彫りにしている。
CVE.orgのプログラム概要では、その使命が簡潔に説明されています。それは、公開されたサイバーセキュリティの脆弱性を特定、定義、およびカタログ化することです。このシステムは無料で利用でき、誰でもアクセス可能であり、市場に出回っているほぼすべての主要なセキュリティツールに統合されています。
CVEがなければ、組織間では特定の脆弱性について議論するための共通の用語が欠けてしまいます。スキャナーが脆弱性を検出し、パッチ情報でその同じ脆弱性が対処される場合、CVE IDこそが、それらが同一の問題を指していることを確認するものです。この共通の参照基準により、いくつかの重要なワークフローが可能になります:
CVE識別子は「CVE-年-番号」という形式で構成され、説明、影響を受ける製品、深刻度スコア、および参照リンクが含まれています。CVE IDの構成を理解することで、アナリストはアドバイザリを迅速に分析し、対応の優先順位を付けることができます。
各識別子は、次の3つの要素で構成されています:
IDそのものに加え、各CVEレコードにはいくつかのデータフィールドが含まれています:
一般的に「Log4Shell」として知られるCVE-2021-44228について考えてみましょう。このIDからは、2021年に割り当てられたものであり、シークエンス番号が44228であることが一目でわかります。 このCVEレコードは、Apache Log4j 2ロギングライブラリにおけるリモートコード実行の脆弱性について記述しています。Common Vulnerability Scoring System(CVSS)を通じて別途割り当てられたCVSSスコアは10.0で、これは最も深刻なレベルです。参照セクションには、Apacheのアドバイザリ、NVDの詳細情報ページ、および複数のサードパーティによる分析へのリンクが掲載されています。
CVE IDそのものと、それに付随するCVSSスコアとを区別することが重要です。CVEは脆弱性の内容を特定するものです。一方、インシデント対応・セキュリティチームフォーラム(FIRST)が管理するCVSSは、その脆弱性の深刻度を0~10の尺度で数値化するものです。これら2つのシステムは相互に補完するものであり、互換性があるわけではありません。
CVE番号付与機関は、発見から公開、NVDへの情報充実に至るまでの体系的なライフサイクルを通じて、識別子の検証と割り当てを行います。このプロセスは、以下の6つの段階を経て進行します:
CNAの階層構造は3層から成っています。MITREは最上位のルートとして、プログラム全体を統括しています。MITREの下には、CISA、Google、Microsoftといった、CNAのグループを管理する組織が「ルート」として位置付けられています。最下層にはCVE番号付与機関そのものが存在し、2025年時点でエコシステム全体で365のCNAが稼働しています。
CVE番号付与機関(CNA)とは、CVEプログラムから認可を受け、定義された範囲(通常は自社の製品や特定の技術分野)内でCVE IDを割り当てる権限を持つ組織のことです。2025年のCNA別割り当て件数上位の機関は、このプログラムの広範な影響力を示しています:
ジェリー・ガンブリンによる2025年の分析に基づくこれらの数値は、オープンソースおよびWebアプリケーションのエコシステムが、現在、新規CVE登録件数の最大の割合を占めていることを示しています。どの組織でも、CVE.orgプログラムを通じてCNA(CVE登録機関)になることを申請することができます。
脆弱性を発見した研究者は、2つの方法で報告を行うことができます。影響を受けるベンダーがCNAとして活動している場合は、研究者はそのベンダーに直接報告します。そうでない場合は、CVE.orgのリクエストフォームを利用することができ、このフォームを通じて報告は適切なCNAに転送され、最終手段としてMITREに送られます。
すべての報告がCVEとして公開されるわけではありません。2025年には、1,787件のCVEが却下されました(却下率は3.58%)。その主な理由は、報告された問題がプログラムの掲載基準を満たしていなかったか、既存のエントリと重複していたためです。
CVEは特定の脆弱性を特定し、CVSSはその深刻度を評価し、CWEは脆弱性の種類を分類し、NVDは詳細なメタデータを提供します。これら4つのシステムはしばしば混同されがちであるため、明確な比較を行うことで、実務担当者は各システムがどのように連携しているかを理解しやすくなります。
脆弱性管理のプロセスにおいて、CVE、CWE、CVSS、およびNVDがどのように関連しているか:
この仕組みは次のように機能します。CWEは一般的な脆弱性のカテゴリ(例えば、Cross-Site Scriptingを表すCWE-79など)を定義します。CVEは、特定の製品におけるその脆弱性の具体的な事例を識別します。その後、CVSSがその具体的な事例の深刻度を評価します。最後に、National Vulnerability Database(NVD)が、CVSSスコア、影響を受ける製品のリスト、パッチへの参照といった構造化データを用いて、CVEレコードを充実させます。
2025年には、CWE-79(Cross-Site Scripting)が8,207件で全脆弱性カテゴリ中最多となり、公開されたすべてのCVEの平均CVSSスコアは6.60で、まさに「中(Medium)」の深刻度範囲に該当しました。
これらの違いを理解することは重要です。なぜなら、それらはそれぞれ異なる疑問に答えるものだからです。「どのような脆弱性か?」――それがCVEです。「どのような種類の脆弱性か?」――それがCWEです。「その深刻度はどの程度か?」――それがCVSSです。「詳細な記録はどこで確認できるか?」――それがNVDです。
CVEプログラムは2025年の資金難を乗り切ったものの、NVDの処理遅延や、EUVDやGCVEといった競合システムによって、脆弱性追跡のあり方は変わりつつある。本節では、SERPの競合他社が常に見落としている3つの動向について解説する。
2025年4月、CVEプログラムは閉鎖まであと数日というところまで追い込まれた。同プログラムの運営に関するMITREと国土安全保障省(DHS)との契約は期限切れとなる予定であり、更新の合意は成立していなかった。SecurityWeekの報道によると、期限が迫る中、MITREの経営陣は同プログラムの「機能低下」の可能性を示唆していた。
2025年4月16日、2つの出来事が同時に起こった。CISAはプログラムを継続するために11カ月の暫定延長を確保した。また、CVE理事会メンバーによって設立された非営利団体「CVE財団」が発足し、多様性のある長期的なガバナンスの実現に向けて活動を開始した。
2026年1月までに、状況は安定化した。CSO Onlineの報道によると、CVE理事会は「3月に資金の断絶は生じない」との報告を受け、CVEはCISAの中核プログラムに格上げされた。しかし、資金の詳細は依然として不透明であり、観測筋からは「謎の金額が盛り込まれた謎の契約」と評されている。
資金不足の懸念により、脆弱性の追跡に関する2つの代替アプローチが加速した:
NISTが管理する「National Vulnerability Database(NVD)」は、CVEレコードにCVSSスコアやCPEデータを付加するシステムであるが、その更新に追いつくのに苦労している。inventivehqの分析によると、過去1年間に追加されたCVEの約44%には、CVSSスコアや影響を受ける製品のデータが欠落している(2025年)。
NISTは、2018年以前のすべてのCVEを「Deferred(保留)」と分類したことで、問題をさらに深刻化させた。これにより、約10万件のレコードが、今後(2026年以降)は詳細情報の更新を受けられなくなる。商務省監察総監室は、NVDの管理実態について連邦監査を開始した。
実務者にとって、その意味するところは明らかです。NVDのみに依存しているチームは、不完全なデータに直面することになります。CISAのVulnrichmentプロジェクトは補完的なデータ強化ソースを提供しており、EUVDはEUの規制対象組織向けに追加のデータストリームを提供しています。
毎日130件以上の新しいCVEが公開され、その28%が公開から24時間以内に悪用されている(2025年)現状において、組織は手動による追跡を超えた自動化された優先順位付けを必要としている。
2025年の数値は厳しい現実を浮き彫りにしている。過去最多となる48,185件のCVEのうち、深刻度別の内訳は以下の通りであった:
CVSSスコアに基づく2025年のCVE深刻度分布。出典: Jerry Gamblinによる2025年CVEデータレビュー。
その膨大な数にもかかわらず、攻撃者は依然として極めて選り好みをしている。2025年に公開された48,000件以上のCVEのうち、実環境で悪用されたことが確認されたのはわずか1%程度であった。しかし、一旦悪用が始まると、そのスピードは極めて速い。重大なCVEの54%は、公開から1週間以内に悪用されていた(2025年)。 セキュリティ研究者は2025年に、初めて悪用された証拠が確認された既知の脆弱性を884件特定し、CISAのKEVカタログは244件(28%増)増加して、合計1,483件となった。
FIRSTは、2026年に新たに59,427件のCVEが登録されると予測しており、この傾向が続けば、手動による追跡はますます困難になるだろう。
以下の3つの実例は、さまざまな悪用パターンを示しています:
CVE に基づく効果的な防御には、CVSS スコア、CISA KEV ステータス、エクスプロイト情報、および振る舞い 機能を組み合わせた、リスクベースの優先順位付けが必要です。以下のワークフローは、セキュリティチームが CVE データを実運用に活用するのに役立ちます:
ステップ3では、CISAのKEVカタログに特に注目すべきである。KEVへの登録までの期間の中央値はわずか5.0日(2025年以前の8.5日から短縮)であり、このカタログは、攻撃者が実際に利用しているCVEに関する、迅速かつ厳選された情報を提供している。「拘束力のある運用指令22-01」に基づき、米連邦政府機関は、定められた期限内にKEVのエントリに対する是正措置を講じなければならない。
CVEに基づくパッチ適用だけでは、セキュリティ上の穴が残ってしまいます。Zero-day 、CVE IDが割り当てられる前に悪用されます。パッチの適用には時間がかかります。また、レガシーシステム、OT(オペレーショナルテクノロジー)、サードパーティのSaaSなど、一部の環境では迅速なパッチ適用が不可能です。
振る舞い ベースの脅威検知は、攻撃者が利用した特定のCVEではなく、脆弱性を悪用した後の行動に焦点を当てることで、そのギャップを埋めます。ネットワーク検知・対応ソリューションは、侵入経路にかかわらず、悪用後の行動(偵察、横方向の移動、権限昇格、コマンド&コントロール通信、データ持ち出し)を監視します。
多層防御アプローチでは、CVE に基づく脆弱性管理と、行動検知およびインシデント対応機能を組み合わせます。zero-day CVE に基づく防御が一時的に機能しなくなった場合でも、振る舞い がその安全網となります。
CVEの追跡は、主要な規制枠組みにおけるコンプライアンス要件を直接的にサポートします。以下の対応表は、CVEのプロセスを、監査人が確認する管理措置と照合したものです。
CVE追跡が主要なコンプライアンス・フレームワークとどのように対応しているか:
フレームワークのマッピングにとどまらず、CVEデータは直接 MITRE ATT&CK フレームワーク. MITREの脅威情報に基づく防衛センター(CTID)は、あるプロジェクトを運営しています ATT&CKの手法をCVEにマッピングする、特定の脆弱性と攻撃者の行動を関連付ける。例えば、手法 T1190 (対外向けアプリケーションの脆弱性悪用)は、WebサーバーやAPIのCVEに対応しており、一方で T1068 (権限昇格のための悪用)は、ローカル環境における権限昇格の脆弱性に対応します。
現代の脆弱性インテリジェンスは、CVEデータと振る舞い 、リスクベースの優先順位付けを組み合わせることで、脆弱性の公開から悪用までの間に生じるギャップに対処しています。FIRSTが2026年の新規CVE件数の中央値を59,427件と予測している中、CVSSスコアに基づいてすべてにパッチを適用するという従来のアプローチは、その重みに耐えきれず崩壊しつつあります。
現在の状況は、いくつかの変化によって特徴づけられています:
Vectra AIは、侵害を前提としたアプローチで脆弱性の悪用を検知します。CVEベースのパッチ適用だけに頼るのではなく、Vectra AIの攻撃シグナルインテリジェンスは、既知のCVE、未知のCVE、ゼロデイ脆弱性のいずれであっても、攻撃者が脆弱性を悪用した後に示す行動の検出に重点を置いています。この手法により、防御側は、関連する特定のCVEに関係なく、横方向の移動、権限昇格、データ漏洩などの悪用パターンを特定でき、脆弱性の開示と組織の対応との間のギャップを埋めることができます。
脆弱性情報開示のエコシステムは、急速な構造変化の時期を迎えつつあります。今後12~24カ月の間に、いくつかの動向が、組織によるCVEの発見、優先順位付け、および対応のあり方を一変させることになるでしょう。
その数は今後も増加の一途をたどるでしょう。FIRSTによる2026年の新規CVE件数の中央値予測である59,427件は、2025年の過去最高記録からさらに23%の増加を示しています。 AIフレームワーク(Langflow、Semantic Kernel)やエンタープライズ向けコントロールプレーン(SD-WANアプライアンス、IDインフラストラクチャ、移行ツール)の登場により、2年前にはほとんど存在しなかった新たな脆弱性のカテゴリーが生まれています。セキュリティチームは、2026年末までに1日あたりのCVE件数が160件を超えると想定した上で、人員配置やツールの導入計画を立てるべきです。
規制要件はさらに厳格化される見込みです。EUサイバーレジリエンス法(CRA)は2026年9月に発効し、ベンダーに対し、実際に悪用された脆弱性を24時間以内に報告することを義務付けます。NIS2では、すでにEU全域の重要・重要度の高い事業体に対し、リスクベースの脆弱性管理が義務付けられています。米国では、商務省監察総監室(OIG)によるNVDの監査の結果、NISTによる脆弱性データの充実化の方法に構造的な変更が生じる可能性があります。 複数の法域で事業を展開する組織は、CVE、EUVD、GCVEの報告義務が重複する可能性に備えるべきである。
分散化は、回復力と摩擦の両方をもたらすことになる。EUVDとGCVEの登場により、冗長性が導入された。これは、2025年の資金調達危機のような単一障害点に対する貴重な安全策となる。しかし、同時に調整上の課題も生じている。GCVEで追跡される脆弱性は、CVEでも同じIDを持つのだろうか?NVDは、従来のCNA階層の外から発生したエントリの補完情報をどのように扱うのだろうか?これらの疑問は依然として未解決であり、政策立案者と実務者の双方による対応が求められることになる。
AIを活用したCVEの優先順位付けは、もはや必須の要件となるでしょう。NVDの未処理件数が解消されず、件数が増加し続ける中、依然として手動によるCVEの確認に依存している組織は、さらに遅れをとることになるでしょう。自動化された相関分析エンジンやAIを活用した悪用可能性予測モデルの普及、そしてSBOMデータの脆弱性管理ワークフローへの統合が進むと予想されます。
投資の優先順位:組織は、自動化されたCVE相関分析、SBOMツール、および特定のCVE割り当てとは独立して機能する振る舞い 機能に予算を割り当てるべきです。なぜなら、次の重大なエクスプロイトは、CVE IDが割り当てられるよりも先に現れる可能性があるからです。
CVEは、サイバーセキュリティコミュニティが脆弱性を特定し、その情報を共有するための基盤であり続けています。1999年の創設から、2025年に過去最多となる48,185件のエントリが公開されるに至るまで、このシステムは拡大し続ける攻撃対象領域に合わせて規模を拡大してきました。しかし、規模の拡大は課題ももたらしています。2025年の資金調達危機、NVDのデータ充実化における処理遅延、そしてEUVDやGCVEの登場は、いずれも脆弱性エコシステムが多様化していることを示しています。
セキュリティチームにとっての実践的な教訓は、CVEのみに依存しないワークフローを構築することです。CVEの追跡と、CISAのKEVカタログを活用したリスクベースの優先順位付けを組み合わせ、NVDのデータを複数の情報源で補完し、CVEが割り当てられているかどうかにかかわらず攻撃を検知できる振る舞い に投資すべきです。最も警戒すべき攻撃者、つまり貴社を標的としている攻撃者は、CVE IDが割り当てられるのを待ってから攻撃を仕掛けてくるようなことは決してありません。
Vectra AI 、ネットワーク、ID、クラウド環境全体にわたるエクスプロイト後の行動を組織が検知するのをどのようにVectra AI については、Vectra AI をご覧ください。
CVEは「Common Vulnerabilities and Exposures(共通脆弱性および暴露)」の略称です。このシステムは、公開されたサイバーセキュリティの脆弱性を識別するための標準化された方法を提供することを目的として、1999年にMITRE Corporationによって策定されました。各CVEエントリには、CVE-年-番号という形式の一意の識別子が割り当てられます(例:Log4Shellの脆弱性についてはCVE-2021-44228)。 名称に含まれる「Common(共通)」という言葉は、その中核的な目的、すなわち、あらゆるセキュリティツール、ベンダー、アナリストが利用できる共通の参照基準を構築することを反映しています。CVEが登場する以前は、異なる組織が同じ脆弱性に対して異なる名称を使用することが多く、連携が遅れ、信頼性に欠ける状況でした。 現在、CVE.orgプログラムは30万8,000件以上のエントリを収録しており、市場に出回っているほぼすべての脆弱性スキャナー、SIEM、パッチ管理プラットフォームに統合されています。CISAは、世界的なサイバーセキュリティコミュニティのための公共財として、このプログラムに資金を提供しています。
CVE識別子は、CVE番号付与機関(CNA)によって割り当てられます。CNAとは、定義された範囲内でCVE IDを発行する権限を持つ組織のことです。2025年現在、主要なソフトウェアベンダーからPatchstackやVulDBのようなセキュリティ研究機関に至るまで、365のアクティブなCNAがプログラム全体で活動しています。研究者が脆弱性を発見した場合、関連するCNA(通常は影響を受けるベンダー)に報告するか、CVE.orgのリクエストフォームを通じて報告します。 CNAは報告内容を検証し、登録基準を満たしていることを確認した上で、CVE IDを割り当てます。その後、その記録は説明文や参照情報と共にCVE.org上で公開されます。2025年には、1,787件の報告が却下されました(却下率は3.58%)。却下の主な理由は、既存のエントリと重複していたか、プログラムの基準を満たしていなかったためです。
CVEとCVSSは、互いに補完し合うものの、それぞれ異なる役割を果たしています。CVEは特定の脆弱性に対して一意の識別子を提供し、「どのような欠陥があるのか」という問いに答えます。一方、FIRSTが管理するCVSS(Common Vulnerability Scoring System)は、0~10のスケールで数値による深刻度スコアを提供し、「その深刻度はどの程度か」という問いに答えます。 例えば、CVE-2021-44228(Log4Shell)は識別子であり、その CVSS スコア 10.0 は最大レベルの深刻度を示しています。 CVEエントリはCVSSスコアなしでも存在し得ます(最近のNVDエントリの約44%は、データ充実化の遅れによりスコアが欠落しています)。しかし、CVSSスコアは常に特定のCVEを参照しています。実際には、セキュリティチームは個々の欠陥を追跡するためにCVE IDを使用し、修正の優先順位付けを支援するためにCVSSスコアを使用しています。ただし、より正確なリスクランク付けを行うために、CVSSにCISA KEVステータスやエクスプロイト情報を補足することを推奨する専門家が増えています。
CVEは、脆弱性に一意のIDを割り当てる識別システムです。NISTが管理するNational Vulnerability Database(NVD)は、CVEのエントリを取り込み、CVSSの深刻度スコア、影響を受ける製品を特定するCommon Platform Enumeration(CPE)データ、パッチや修正プログラムへの参照情報などの追加データで充実させる、別のシステムです。 CVEを「出生証明書」、NVDを「詳細な診療記録」と捉えてください。CVEは脆弱性の存在を伝えるものであり、NVDはその深刻度や影響を受ける具体的なソフトウェアのバージョンを伝えます。この区別は実務上重要です。なぜなら、NVDのデータ補完作業に遅れが生じているため、すべてのCVEがタイムリーにNVDによる分析を受けられるわけではないからです。優先順位付けをNVDのみに依存しているチームは、スコア付けがまだ行われていない、最近公開されたCVEを見逃してしまう可能性があります。
CVEプログラムは、1999年の開始以来、30万8,000件以上の脆弱性を登録してきました。 2025年だけでも、過去最多となる48,185件のCVEが公開され、2024年の39,962件から20.6%増加しました。FIRSTは、2026年の新規CVE件数の中央値を59,427件と予測しており、増加傾向が続くと見込まれています。 2025年の深刻度分布は、Criticalが8.3%、Highが31.1%、Mediumが53.0%、Lowが3.2%という内訳でした。これほどの件数にもかかわらず、公開されたCVEのうち実環境で悪用が確認されているのは約1%に過ぎないため、CISA KEVカタログなどのツールを用いたリスクベースの優先順位付けが不可欠です。 2025年のCVE番号付与機関の上位は、Patchstack(7,007件)、VulDB(5,902件)、Linux(5,686件)であり、オープンソースおよびWebアプリケーションのエコシステムが大きな割合を占めていることがうかがえます。
2025年4月、CVEプログラムは存続の危機に直面した。MITREが同システムの運営を委託されていた国土安全保障省(DHS)との契約が満了を迎えようとしていたが、更新の目処が立っていなかったためである。SecurityWeekの報道によると、MITREの経営陣はプログラムの「機能低下」の可能性について警告していた。2025年4月16日、CISAは11カ月の暫定延長を確保し、CVE財団が長期的なガバナンスを推進する非営利団体として発足した。 2026年1月までに、CSO Onlineは、CVE理事会に対し「3月に資金が途絶えることはない」と伝えられ、CVEがCISAの中核プログラムに格上げされたことを確認した。この危機を契機に、EUはEUVDの推進を加速させ、GCVEの創設を促した。これらはいずれも、米国が資金を提供する単一のプログラムへの依存度を低減することを目的としている。
CISAの「既知の悪用済み脆弱性(KEV)」カタログは、実世界の攻撃において積極的に悪用されていることが確認されたCVEを厳選してまとめたリストです。30万8,000件以上のエントリを含む完全なCVEカタログとは異なり、KEVカタログは、脅威アクターが実際に利用しているごく一部の脆弱性にのみ焦点を当てています。 2025年末時点で、KEVカタログには1,483件のエントリが収録されており、その年の間に244件が新たに追加されました(28%の増加)。「Binding Operational Directive 22-01」に基づき、米連邦政府機関は、定められた期限内にKEVのエントリに対する是正措置を講じなければなりません。 連邦政府機関以外の組織にとって、KEVカタログは利用可能な最も実用的な優先順位付けツールの一つとなっています。これは、年間48,000件を超えるCVEの情報の洪水の中から、即座かつ実証済みのリスクをもたらすものを抽出する、厳選された指標なのです。