CVEプログラム継続決定 - 停止時はどんな影響が想定されたのか？

米国政府の方針転換がリスクに、代替体制の議論が加速か

JPCERT/CCによると、これまでも「CVEプログラム」に代わる民間主導の識別子を作る動きがあったという。

2025年に入ってから、米国政府が大きな方針転換を進めるなか、CVEプログラムの将来を危ぶむ声や、代替を模索する意見、議論も行われており、そのような代替体制の議論も今回の出来事をきっかけに加速する可能性があると見ている。

CVE番号が普及した背景を考えると、プログラムに対する意見や提案を含め、垣根を超えて協力ができる基盤であることが重要であると指摘。運営者が誰であるかではなく、関係者がプログラム全体を支えていくことが望ましく、そのようなプログラム運営を期待していると話した。

またCVEプログラムの継続を目指す「CVE Foundation」の設立なども発表されているが、その点については情報収集の段階にあるとしてコメントを控えるとした。JPCERT/CCでは、現行の制度運営を引き続き進めつつ、関連する動きを注視し、日本政府や国内のCNA、製品開発者、研究者などへ情報を共有していくとしている。

（Security NEXT - 2025/04/18 ） ツイート

PR

関連記事

先週注目された記事（2025年4月13日〜2025年4月19日）
「CVEプログラム」のサービス停止を回避 - CISAがオプション期間を行使
LinuxカーネルのUSBオーディオドライバ脆弱性 - 攻撃の標的に
管理者権限奪われる「CrushFTP」脆弱性の悪用に注意喚起 - 米当局
先週注目された記事（2025年3月9日〜2025年3月15日）
侵入後に即攻撃するランサムウェア「Ghost」に注意 - 70カ国以上で被害
米当局、1月は14件の脆弱性悪用について注意喚起
2024年4Qのインシデントは約8％増 - 「FortiManager」脆弱性の侵害事例も
米当局、悪用されている脆弱性5件について注意喚起
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁