JPCERT/CCは9月24日、「脆弱性を識別するCVE番号の新体系による採番」に関する発表を行った。
米国MITRE社が管理運営する脆弱性の識別子CVE (Common Vulnerabilities and Exposures)番号の体系が、2014年から年間1万件を超える脆弱性にも対応できるよう拡張された。
固定長のCVE番号を前提とした機械処理をしている場合には、誤動作する可能性があるため、米国MITRE社は、1月15日、CVEのWebサイト上で新番号体系による運用を開始している旨のNotificationを公表。7月15日には、CVE番号体系変更のReminder Notificationを公表した。
そして9月17日、CNAをはじめとするCVE利用者や脆弱性情報を参照するエンドユーザに至るまで、このCVE番号の新体系を広く周知すべく、改めてプレスリリースを発行した。
CVE番号の形式は、1999年の運用開始以来、「CVE-<西暦年号>-<4桁の数字>」と定められていたため、1年間に1万件以上のCVE番号を付与することができなかった。
世界中で発見される脆弱性は年々増加の一途をたどっており、このままでは今年にも1万件を超えてCVE番号を付与できない事態になることが懸念されている。
CVEを管理・運営しているPrimary CNAである米国MITRE社では、2013年にCVE番号体系の変更に対応するための調査、関連組織や利用者へのヒアリングやアンケート等を実施して、約1年間をかけて番号体系の変更を検討。
その結果、数字4桁で不足する場合には漸次桁数を増やす方式が採用されることになり、2014年1月1日より実施している。
JPCERT/CCもCNA(CVE Numbering Authority, CVE 採番機関)として、この番号体系に準じた運用を開始している。
|
