CVE（共通脆弱性識別子）とは

CVEとは「Common Vulnerabilities and Exposures」の略で、日本語では「共通脆弱性識別子」と呼ばれます。異なる組織やベンダーが独自の名称で脆弱性を呼んでいた状況を解消し、世界共通の識別子で標準化するために生まれた仕組みです。

アメリカの非営利団体MITRE（マイター）が管理しており、各脆弱性に一意の番号を割り当てます。これにより、セキュリティツールやレポートが「同じ脆弱性」を指していることを保証できます。

CVE IDの構成と意味

ルールに基づいて割り振られた固有の識別番号を「CVE ID（CVE番号）」と呼びます。その構造を知ることで、アドバイザリを正確に読み解くことができます。

CVE IDの構造

一般的に「CVE-YYYY-NNNNN」という形式で表記されます。

• CVE：共通脆弱性識別子であることを示す接頭辞
• YYYY：脆弱性が採番（割り当て）された西暦年
• NNNNN：その年に割り当てられた連番（5桁以上になることもあります）

CVSSスコア（脆弱性の深刻度評価）とは

CVEは脆弱性の「名前」に過ぎず、深刻度は含まれていません。そこでリスクの大きさを定量的に示す指標として用いられるのがCVSSです。

CVSS v4.0の主な評価基準

• 基本評価基準 (Base)：脆弱性そのものの不変的な特性を評価。
• 脅威評価基準 (Threat)：現時点での脅威状況（攻撃コードの公開状況など）。
• 環境評価基準 (Environmental)：自社のシステム環境に照らしたリスクの調整。

CVEを管理するJFrogソリューション

CVEが「情報」であるのに対し、JFrog Xrayはそれを自社の成果物に結び付け、継続的に可視化・統制するための実行基盤です。

Artifactory内のバイナリやコンテナを解析し、CVEを自動検出。重大度に基づいたポリシー適用により、リリース可否の自動判断を可能にします。

まとめ

CVE IDを一覧として確認するだけではセキュリティは向上しません。「予防・検出・判断」のサイクルをDevSecOpsパイプラインの中で自動化することが、実効性のある対策につながります。CVEは情報、JFrogは影響を特定し防御する仕組みです。