サイバーセキュリティの基盤「CVE」が資金難に直面、独立団体が設立

アップルを含む多くのIT企業が利用する、ソフトウェアの脆弱性識別システム「CVE（Common Vulnerabilities and Exposures）」が、米政府からの資金援助打ち切りにより存続の危機に瀕している。

これを受け、CVE理事会のメンバーを中心とした団体が、非営利組織「CVE Foundation」を設立し、脆弱性識別システムの継続的な運用を目指すことを発表した。

CVEは、ソフトウェアやハードウェアのセキュリティ脆弱性を特定し、カタログ化する標準化されたシステム。
脆弱性が発見されると、固有のCVE識別子が割り当てられ、アップルなどの企業が修正プログラムやアップデートを連携して行う上で重要な役割を果たしている。

資金援助打ち切りは4月16日に発生。
米国土安全保障省との契約でプログラムを管理してきたMITRE社は、政府からの資金が打ち切られたことを確認した。
一部報道では、政府効率化局（DOGE）主導の政府規模縮小が原因とされている。

専門家は、CVEがなければ、サイバーセキュリティ対策は「完全な混乱」に陥ると警告。
脆弱性に関する共通言語が失われることで、サイバー攻撃への対策が困難になることが懸念されている。

新設されたCVE Foundationは、政府からの資金援助に依存しない、非営利モデルへの移行を目指す。
Foundationは、今回の事態を想定し、過去1年間準備を進めてきたという。

今回の資金援助打ち切りは、脆弱性になる可能性のあるセキュリティ上の問題を事前に特定する「CWE（Common Weakness Enumeration）」プログラムにも影響を与えている。

CVE Foundationは今後数日以内に、組織構造や資金調達計画に関する詳細を発表する予定。
サイバーセキュリティの重要な基盤であるCVEを維持するため、アップルをはじめとする大手IT企業が支援に乗り出すと見られている。