CVE

CVEは『Common Vulnerabilities a​nd Exposures（共通脆弱性識別子）』の略で、世界中で発見・公表されたソフトウェアの脆弱性に対して一意の識別番号を付与する仕組みです。米国の非営利団体MITRE社が運営し、『CVE-西暦-通し番号』（例: CVE-2024-1234）の形式で採番されます。これにより、研究者・ベンダー・管理者が同じ脆弱性について話すとき、言葉の揺れなく参照できるようになっています。

各CVEには、脆弱性の概要・影響を受ける製品とバージョン・公表日・参考リンク・CVSSスコア（深刻度を0.0〜10.0で示す指標）が紐づきます。CVSSスコアは『攻撃経路』『攻撃の複雑さ』『必要な権限』『ユーザーインタラクション』『機密性・完全性・可用性への影響』などから算出され、7.0以上が『High』、9.0以上が『Critical』とされ、優先対応が必要です。

実運用では、①JVN（日本版の脆弱性情報ポータル）、②NVD（米国国立脆弱性データベース）、③各ベンダー公式セキュリティ情報を定期確認し、④自社利用ソフトに該当CVEがあればパッチ適用を速やかに行う、というサイクルを回します。大企業では脆弱性管理製品（Qualys・Tenable等）で自動的にCVE照合・優先度付け・対応期限管理を行うのが一般的です。

個人ユーザーでも、使用中のルーター・NAS・ネットワークカメラ・スマート家電のファームウェア更新情報を月1回確認する習慣があれば、公開済みCVEを放置する危険を大きく減らせます。『公開されているのに更新していない脆弱性』は攻撃者にとって最も狙いやすい穴で、Nデイ攻撃の主戦場となります。