MITRE 脆弱性 管理のCVE プログラム 存続へ新たな動き-CVE財団が発足、米政府はMITRE契約を延長

2025年4月16日、脆弱性管理の中核を担う「Common Vulnerabilities and Exposures（CVE）プログラム」の将来に関して、二つの重要な動きが報じられました。ひとつは、新たに発足したCVE財団（The CVE Foundation）による非営利体制への移行。

もうひとつは、米国土安全保障省（DHS）傘下のサイバーセキュリティ・インフラストラクチャ庁（CISA）が、運用主体であるMITRE社との契約を11カ月延長したというものです。

CVEとは何か？その存在意義

CVEは、1999年にMITREによって立ち上げられた、世界標準の脆弱性識別子管理プログラムです。セキュリティベンダー、政府機関、研究者、ツール開発者、CSIRTなど、あらゆるサイバーセキュリティ関係者がこのデータベースを参照し、脆弱性情報の共通認識を保っています。

現在、CVEは年間数千件におよぶセキュリティ脆弱性を一元管理し、CWE（Common Weakness Enumeration）やNVD（National Vulnerability Database）などにも密接に連携する形で、サイバー防衛のインフラを形成しています。

CVE財団の設立背景と目的

そんなCVEプログラムの運営体制に、不確実性が突如として表面化しました。MITREの副社長であるYosry Barsoum氏が4月15日に発行した通知書で、現行の政府契約が4月16日をもって終了し、更新の見込みがないことをCVEB（CVEボード）に通達したのです。

これを受け、長年にわたってCVEに携わってきた有志らは、CVEプログラムの中立性と持続可能性を守るため、新たな非営利組織「CVE財団」を正式に設立しました。

CVE財団の目的は、以下のとおりです

• 米国政府という単一のスポンサー依存からの脱却

• プログラムの安定運用と継続的な改善の実現

• グローバルなコミュニティ主導のガバナンス体制の構築

• 脆弱性識別の信頼性・即時性の維持

財団理事であるKent Landfield氏は、「CVEは世界中のセキュリティ専門家にとって不可欠なインフラであり、自身が脆弱であってはならない」と強調。CVEが止まれば、サイバー防衛は根本から機能不全に陥る”との懸念を表明しています。

一方で政府はMITREとの契約延長を発表

こうした動きを受けてか、BleepingComputerの報道ではCISAは4月16日朝、MITREとの契約を11カ月延長することを決定。これにより、少なくとも短期的にはCVEサービスの停止は回避される見通しとなりました。

また公式でCVE財団をリリースし中立的に脆弱性管理を行っていく事が発表されました。

CISAは「CVEプログラムは国家のサイバーセキュリティにとって不可欠であり、継続を最優先課題と捉えている」とコメント。延長の背後には、CVE財団の準備状況や、今後の移管プロセスとの調整も視野に入れていると見られます。

今後の展望：二重体制から移行か？

MITREによる延長運営とCVE財団の発足が同時に進行することで、移行期間中は“二重体制となる可能性があります。今後は、以下のような課題と展望が注目されます：

• CVE財団がどのようにMITREから運営を引き継ぐか（ガバナンス・資金・スタッフ）

• NVDやCWEとの関係維持とデータ整合性の確保

• 海外ステークホルダー（ENISA等）との連携強化

• 政府主導からコミュニティ主導への意識転換

欧州ではENISA（EUサイバーセキュリティ庁）がEUVD（欧州脆弱性データベース）を立ち上げており、今後は地域・国家別の脆弱性基盤との連携強化も求められるでしょう。

終わりに

25年以上にわたりグローバルな脆弱性管理を支えてきたCVEプログラム。その“将来の不確実性”が露呈した今回の動きは、セキュリティ業界全体に警鐘を鳴らすものでした。しかし同時に、財団化という新たな道を切り拓く転機とも言えます。

CVE財団とCISAの今後の発表を注視しながら、私たちも「脆弱性管理のインフラ」が抱える課題とその未来に向き合っていく必要があります。