CVEの危機。MITREが米国政府との契約終了。CVE Foundation設立へ

セキュリティ関係では非常にお世話になっている、SCAPの中のCVEを管理している（現在は事務局）MITREへの米国政府の資金提供が2025年4月16日に終了する可能性があるとの情報が入ってきました。 これが終わると様々なセキュリティの枠組みが崩壊してしまうため、セキュリティ業界から様々な声が上がっています。

以下では、現時点（2025/04/17）でわかっていることをまとめます。

「未経験からでもホワイトハッカーになれる！」実践的セキュリティスクール「セキュ塾」

• サイバーセキュリティ技術者育成コース（2025年10月生募集中）
• ホワイトハッカー育成コース（2025年6月生募集中）
• 脅威インテリジェンス育成コース（受講生随時募集中）

SecurityWeekの記事（2025/04/15)

2025/04/15のSecurityWeekの記事「MITRE Warns CVE Program Faces Disruption Amid US Funding Uncertainty」によるとMITREのCenter for Securing the Homeland の副社長兼ディレクターである Yosry Barsoum氏がCVE Boardに宛てたレターの中で、米国政府との契約が4/16に終了すること。

• 米国政府との契約が4/16に終了すること
• 今後の資金援助については何も発表されていないこと

を伝えたとのことです。

CVE（Common Vulnerability Exposure）およびSCAPに関しては、こちらの記事に詳しく書いてありますが、脆弱性に割り振った一意(Unique)の番号になっており、脆弱性が出た際や対応の際などに広くグローバルで使われているスタンダードになっています。このCVE抜きでは現在の脆弱性管理は成り立たないと言っても過言ではありません。

このCVEの解説とcve.orgにおけるMITREの立ち位置は、「こちらの記事」で紹介していますが、下記の画像で見るとお分かりの通り

MITREはSecretariat(事務局)として活動しています。事務局の役割は、CVE Programによってインフラストラクチャを開発・提供・維持し、CVE BoardやCVE Working Group、その他の管理およびロジスティックスサポートを提供する組織になりますので、実質的な要になっています。MITREが機能しなくなってしまうと、CVEの全てが危機に陥ります。

昨年公開されたCVE-ID数と、NIST NVDの状況

　今回のCVE/MITREの騒動でNIST/NVDの話も引き合いに出されているニュースが多いため、参考までにNIST/NVDの状況を簡単に解説します。昨年公開されたCVE-ID数とその「処理待ち（backlog）」がどのようになっているかを2025年1月に集計した際のグラフが以下になります。

2024年には最大で1ヶ月辺り5000件を超えるCVE-IDが発行されています。このため、米国国立標準技術研究所（NIST）が行なっている「CVE-IDが公開されると解析を行ってCVSS等を付ける」という作業がスタックしてしまいました。外部ベンダーに協力を頼み、優先度の高い脆弱性からなんとか処理している状態です。

この辺の顛末は、「JapanSecuritySummit: 2025年2月版　最速！危険度の高い脆弱性をいち早く解説「脆弱性研究所」第31回」にて紹介していますので、興味がありましたら読んでみてください。

 CVE Foundation

　今回の騒ぎを受けて、CVE Foundationが設立されました。

このリリースには「CVE Foundationの設立は、脆弱性管理エコシステムにおけるSinglePointFailureの排除と、CVEプログラムが世界的に信頼され、コミュニティ主導のイニシアチブであり続けるための大きな一歩となります。国際的なサイバーセキュリティコミュニティにとって、この動きは、今日の脅威環境のグローバルな性質を反映したガバナンスを確立する機会となります。」と書かれています。

筆者個人の思いでは、個人からの募金などがあるようでしたら参加したいと考えています。

CISAの動き

• bleepingcomptuerの記事「CISA extends funding to ensure ‘no lapse in critical CVE services’」によると、このMITREの資金停止の知らせを受けて、CISAは「重要なCVEサービスの中断がないように」資金を増額したそうです。
  

まとめ

　今回のケースは米国のいろいろな事情から来ていますが、一方で「一国のインフラに頼ること」の危険性という、非常に大きな問題を投げかけてくれていると思います。今後どうなっていくかをウォッチしたいと思います。

関連情報

• SecurityWeek: MITRE Warns CVE Program Faces Disruption Amid US Funding Uncertainty
• bleepingcomputer: CISA extends funding to ensure ‘no lapse in critical CVE services‘
• CVEとは？脆弱性に割り当てられる脆弱性には一意のIDを解説
• JapanSecuritySummit: 2025年2月版　最速！危険度の高い脆弱性をいち早く解説「脆弱性研究所」第31回
• CVE Foundation
• bleepingcomputer: CISA extends funding to ensure ‘no lapse in critical CVE services’
• CISAのX(twitter)へのポスト

関連記事:

ランサムウェア攻撃の対策方法とは？被害を防ぐ防止策と感染後の対策KADOKAWA攻撃疑惑のBlackSuitランサムウェアグループとはSCAP（セキュリティ設定共通化手順）とは？専門家が解説SSVCとは？ステークホルダーに合わせた脆弱性の分類について解説