CVE(共通脆弱性識別子)プログラムに動き：CISAが継続性を保証、非営利の「CVE財団」も始動

2025年4月23日、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、CVE（共通脆弱性識別子）プログラムの運営に関する一部報道を受けて、公式声明を発表しました。

「資金不足による停止」との懸念に対し、CISAは「資金面ではなく契約手続き上の課題であり、すでに解決済み」と明確に否定しています。

この発表は、サイバーセキュリティ業界にとって不可欠な基盤の継続性を確認するものであり、MITRE社およびCVEボードと連携しながら、プログラムの強化とグローバルな協調体制の構築を推進していく姿勢を強調しました。

CVEは「止まらない」──CISAが強調した継続運営

CISAのマット・ハートマン代行副局長によると、CVEプログラムに関して「契約の一時的な調整があったが、失効前に解決され、運用に一切の中断はなかった」と説明。あわせて、今後もプログラムの拡張と透明性を重視し、世界中の関係機関や民間企業と連携して安定した運営を行うことを表明しました。

CVEは、年間数千件にも及ぶ脆弱性情報を一元的に管理し、サイバー防衛の中核インフラとして活用されており、現在では世界中の453のCVEナンバリング機関（CNA）が協力する分散型の体制に進化しています。

CVE財団の発足──中立的な新ガバナンス体制へ

一方で、CVEプログラムの将来に関する議論は、MITRE社の副社長Yosry Barsoum氏が2025年4月15日にCVEB（CVEボード）に通達した「契約更新の見込みなし」という通知から大きく加速しました。この発表を受けて、有志による新たな非営利組織**「CVE財団（The CVE Foundation）」が同月16日に正式に発足**しました。

CVE財団は、今後のプログラムの運営を単一政府機関の支配から解放し、国際的で中立的な体制へと移行することを目指しています。主な目的として、以下の点が掲げられています。

• 米政府単独スポンサー依存からの脱却

• プログラムの安定運営と持続的改善

• 国際的なコミュニティ主導のガバナンス確立

• 脆弱性識別の即時性・正確性の維持

CVE財団理事のKent Landfield氏は「CVEが停止すれば、グローバルなサイバー防衛が機能不全に陥る」と警鐘を鳴らし、CVEの役割が持つ絶対的な重要性を再認識するよう訴えました。

MITREとの契約は11カ月延長、当面の混乱は回避

これに呼応する形で、CISAは4月16日朝、MITREとのCVE運営契約を11カ月延長することを決定。この延長により、少なくとも短期的にはCVEプログラムが中断されることはなく、現行体制のもとでの安定した運用が継続される見通しです。

この“二重体制”は、今後CVE財団へのスムーズな移行を図るための過渡的な措置と見られており、CISA、MITRE、CVE財団がそれぞれの立場から協力しながら、グローバルな脆弱性管理インフラの強化を目指す構図が浮かび上がっています。

今後の展望：世界的な脆弱性管理体制の転換期に

今回の一連の動きは、単なる契約更新の問題にとどまらず、国家主導から国際的・中立的なコミュニティ主導へのパラダイムシフトの兆しを示しています。

• CVE財団による非営利運営の確立とMITREからの運営移管

• NVD（National Vulnerability Database）やCWE（Common Weakness Enumeration）との整合性確保

• EUサイバーセキュリティ庁（ENISA）が運営するEUVDとの国際連携の強化

• オープンな脆弱性情報流通を支える新たなフレームワーク構築

これらは、“CVEという名のインフラ”の維持と進化に向けた新たな挑戦です。CISAはその中核支援機関として、今後も透明性と協調性を軸にCVEプログラムを支え、セキュリティのグローバルスタンダードを築いていくと見られます。