MITREの脆弱性管理 CVE プログラムが契約満了で失効の可能性

世界中のサイバーセキュリティ関係者が日々活用する「CVE（共通脆弱性識別子）プログラム」に関し、米MITRE社が同プログラムの運用を今週中にも停止する可能性があると警告を発しました。これは、MITREと米国政府間の契約が2025年4月16日をもって失効予定であるためです。

この件についてMITREは4月15日付で、CVEプログラムボードメンバー宛に正式な通知を送付し、契約失効に伴う重大な懸念とその影響範囲について詳述しました

2025年4月17日追記：脆弱性 管理のCVE プログラム存続へ新たな動き-CVE財団が発足、米政府はMITRE契約を延長

CVEプログラムとは？ なぜ重要なのか

CVE（Common Vulnerabilities and Exposures）は、1999年に開始された、ソフトウェアやシステムに存在する脆弱性に一意の識別子（例：CVE-2024-XXXXX）を付与する国際的標準スキームです。

このデータベースは、以下のような多くの場面で不可欠です：

• 各種セキュリティベンダーの脆弱性スキャンツール

• 製品のセキュリティパッチ管理

• SOC、CSIRTによるインシデント対応

• 政府や重要インフラのサイバーリスク管理

MITREはこのCVEプログラムを、米国国土安全保障省（DHS）傘下のCISA（サイバーセキュリティ・インフラストラクチャー庁）からの資金援助で運営してきました。

何が起きたのか：契約失効の警告

MITREの副社長でありCenter for Securing the Homeland（CSH）所長でもあるYosry Barsoum氏は、4月16日をもって現行契約が失効すると明らかにしました。この契約の失効により、以下が予想されます

• 新規CVEの登録停止

• CVEウェブサイトの閉鎖

• CWE（共通弱点列挙）など関連プログラムも停止

• 国家的脆弱性データベース（NVD）への影響

• セキュリティツール、アドバイザリ、対応プロセスの混乱

実際、MITREはGitHubを通じて既存のCVE情報を一部公開していますが、リアルタイムでの新規登録が止まることは大きな混乱を招く恐れがあります。

影響と潜在的リスク：日本にも波及する可能性

MITREとCISAは現在も今後の運営体制について協議中とのことですが、現時点では明確な継続方針は示されていません。

米国CISAも「影響を最小化すべく緊急対応中」としていますが、契約終了の理由や今後の移行先については明言を避けています。

もしCVEプログラムの運用が一時でも停止すれば、以下のような深刻なセキュリティリスクが発生します

• 脆弱性の識別と共有の遅延によるゼロデイ攻撃リスクの上昇

• 多くのセキュリティ製品・SaaSの脆弱性管理機能が機能不全に陥る可能性

• 日本の企業・官公庁でも脆弱性の見逃し・対応遅延が発生する恐れ

• サプライチェーンリスクが顕在化しやすくなる（特に重要インフラや医療機関）

Bugcrowd創業者のCasey Ellis氏も「CVEは国家レベルのインシデント対応やインフラ保護の要。突然の中断は国家安全保障上の問題になり得る」と警告しています。

背景：米国におけるサイバーセキュリティ契約の見直し

今回の契約終了は、米国政府によるサイバー予算や契約の大幅見直しが背景にあるとも言われています。実際にCISAは先月、MS-ISACやElection ISACといった他の重要なサイバー防衛契約の一部も終了すると発表しており、全体的なセキュリティ体制の変動が進行中です。

MITRE自身は今後もCVEへの関与を希望しており、「グローバルなリソースとしてのCVEの継続に尽力する」としていますが、現実的には短期間での代替スキームや新ベンダーへの移行は困難です。

まとめ：日本の情報システム部門も注視を

今回のMITREからの警告は、世界中の脆弱性管理に大きな影響を与える可能性を秘めています。日本企業・団体にとっても、CVEに依存している脆弱性管理体制は少なくありません。

今後の動向を注視するとともに、以下の対応を検討すべきです：

• 自社の脆弱性管理・スキャンツールがCVEに依存しているか確認

• CVE情報の代替情報源（NVD、JVN、ベンダー独自DB）を確保

• 一時的にでも脆弱性の識別・分析体制を自社内に補完する体制を検討

国際的なサイバーリスクが日々高まる中、脆弱性情報の停止はサプライチェーンやIT資産にとって致命的な盲点となりかねません。セキュリティ担当者は、事態の進展に引き続き注意を払いながら、必要な準備を進めることが求められます。