CVE（共通脆弱性識別子）

CVE（共通脆弱性識別子）とは

CVE（共通脆弱性識別子）は、公開された脆弱性に一意な番号を付けて、世界中で同じ脆弱性を同じ名前で扱えるようにする仕組みです。CVE Program の公式説明では、その使命は公開開示されたサイバーセキュリティ脆弱性を特定・定義・整理することとされています。

たとえば CVE-2026-1972 のような形です。この番号があることで、ベンダーのアドバイザリ、スキャナ、EDR、脆弱性管理ツール、ニュース記事が、同じ脆弱性を同じ識別子で参照できます。CVE は「脆弱性そのものの共通ラベル」と考えると分かりやすいです。

CVE ID の見方

形式は基本的にCVE-年-番号です。

例: CVE-2025-12345

意味はシンプルで、以下の構成です。

• CVE = この仕組みの識別子
• 2025 = ID が割り当てられた年
• 12345 = 連番部分

今は 4 桁固定ではなく、必要に応じてもっと長い番号も使われます。CVE Program は CVE ID を脆弱性に対応付ける公式リストを公開しています。

CNA が番号を付ける

CVE ID は CNA（CVE Numbering Authority） と呼ばれる認定組織が付与します。CNA は、ベンダー、研究機関、オープンソース組織、CERT、バグバウンティ提供者などで、CVE Program から権限を与えられています。