CVE

​​CVEとは、個別製品中の脆弱性を一意に識別するために付与される識別子です。「Common Vulnerabilities and Exposures」の頭字語で、日本語では「共通脆弱性識別子」と呼ばれています。CVEでは、「プログラム上のセキュリティ問題」を一意に識別するために、脆弱性に対して「CVE識別番号（CVE-ID）」を付与します。

米国政府の支援を受けた非営利団体のMITRE社は、脆弱性に関する情報共有のための方法として1990年にCVEという仕組みを提案し、同年からCVE識別番号の割り当てを開始しました。その後、2026年2月現在までに315,000件を超える脆弱性にCVE識別番号が割り当てられています。

CVE識別番号の割り当ては、MITREだけでなく、「CVE 採番機関（CNA：CVE Numbering Authority）」として認定された組織により行われています。2026年2月現在、世界各国の494組織がCNAとして認定されており、日本にも14のCNAが存在しています。

CVE識別番号は、「CVE-西暦-連番」という構成になっています。例えば2025年に公開されて話題となった「Reach2Shell」と呼ばれる脆弱性のCVE識別番号は、「CVE-2025-55182」です。また、2026年2月に公開されたMicrosoft Officeのある脆弱性には、「CVE-2026-21509」という識別番号が割り当てられています。

このように個々の脆弱性に一意の識別番号を採番することで、セキュリティの担当者や専門家などが脆弱性について議論したり情報提供したりする際の「共通言語」が生まれます。これにより、例えば組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりすることが可能となっています。

CVE識別番号が割り当てられた脆弱性は、CVE識別番号管理サイトで閲覧することができます。

CVEと混同されがちな「CWE（共通脆弱性タイプ）」については、こちらの記事で詳しく解説しています：「CWEとは？ CVEとの違いや活用例などを解説」