共通脆弱性識別子(CVE)プログラム存続のため「CVE Foundation」が設立、アメリカ政府からの資金提供停止後即立ち上げ

現地時間の2025年4月16日、これまで25年間にわたって世界のサイバーセキュリティインフラストラクチャの重要な柱となってきた共通脆弱(ぜいじゃく)性識別子(CVE)プログラムの長期的な存続可能性・安全性・独立性を保証するため、「CVE Foundation」が正式に設立されました。

CVE Foundation
https://www.thecvefoundation.org/

1999年にCVEプログラムが発足されて以来、アメリカ政府の資金提供によるイニシアチブとして運営されており、監督と管理は契約に基づいて行われてきました。この体制はプログラムの成長を支えてきましたが、同時に世界的に信頼されているリソースが単一の政府によるスポンサードに縛られることの持続可能性と中立性については、CVE理事会からも疑問の声が上がっていたそうです。

しかし、2025年4月15日にアメリカの国土安全保障省がCVEプログラムへの資金提供契約を更新しない旨を通知したことで、現地時間の2025年4月16日をもってCVEプログラムの予算が失効することが明らかになりました。アメリカ政府はトランプ政権に移行してから、さまざまな支出削減政策を打ち出しています。

脆弱性管理を担うCVEプログラムの運営資金が2025年4月16日で失効することが明らかに - GIGAZINE

CVEプログラムは「我々はこの日(アメリカ政府からの資金援助が停止する日)が来ないことを願っていましたが、その可能性に備えてきました」と説明し、アメリカ政府からの資金援助が停止してもプログラムを継続できるように、CVE Foundation立ち上げの準備を進めてきたことを明かしています。

CVE Foundationは、CVE理事会の長年にわたる活動的なメンバーは、過去1年間、CVEを専門の非営利財団へと移行するための戦略を策定してきたそうです。CVE Foundationは世界中のセキュリティ対策従事者のために、高品質な脆弱性特定を提供し、CVEデータの安全性と可用性を維持するという使命を継続することに専念するとのこと。

CVE Foundationの役員を務めるケント・ランドフィールド氏は、「CVEは世界的なサイバーセキュリティエコシステムの礎石であり、それ自体が脆弱であってはならないほど重要です。世界中のサイバーセキュリティ専門家は、セキュリティツールやアドバイザリから脅威インテリジェンスや対応に至るまで、日々の業務の一環としてCVEの識別子とデータに依存しています。CVEがなければ、防御側は世界的なサイバー脅威に対して大きく不利な立場に置かれてしまいます」と語りました。

CVE Foundationの設立は、脆弱性管理エコシステムにおける単一障害点の排除と、CVEプログラムが世界的に信頼され、コミュニティ主導のイニシアチブであり続けるための大きな一歩となります。国際的なサイバーセキュリティコミュニティにとって、この動きは脅威環境のグローバルな性質を反映したガバナンスを確立する機会にもなります。

今後数日間でCVE Foundationは構造、移行計画、およびより広範なコミュニティからの参加の機会に関する詳細な情報を公開する予定です。

なお、CVE Foundation設立が発表された後、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、セキュリティ関連メディアのBleepingComputerに対して「CVEプログラムはサイバーコミュニティにとって非常に重要であり、CISAの優先事項です。昨夜、CISAは重要なCVEサービスに中断が生じないように、契約のオプション期間を延長しました。パートナーおよび関係者の皆様には、ご理解とご協力をお願いいたします」という声明を発表しました。CISAはCVEプログラムとの契約延長期間が11カ月であることを明かしています。

CISA extends funding to ensure 'no lapse in critical CVE services'
https://www.bleepingcomputer.com/news/security/cisa-extends-funding-to-ensure-no-lapse-in-critical-cve-services/

CISAの声明に対して、CVEプログラムの開発・運用・維持を行ってきたMITREは「政府の対応により、CVEプログラムおよび共通脆弱性タイプ一覧(CWE)プログラムのサービス停止は回避されました。2025年4月16日(水)午前時点で、CISAはこれらのプログラムの運用継続に必要な追加資金を確保しました。過去24時間にわたり、世界中のサイバーコミュニティ、産業界、そして政府からこれらのプログラムへの多大な支援をいただき、感謝申し上げます。政府は引き続きMITREのプログラムにおける役割を支援するために多大な努力を払っており、MITREはCVEとCWEをグローバルリソースとして引き続き活用していく所存です」という声明を出しています。