脆弱性管理を担うCVEプログラムの運営資金が2025年4月16日で失効することが明らかに

共通脆弱(ぜいじゃく)性識別子(CVE)プログラムは個別製品中の脆弱性を対象として、アメリカ政府の支援を受けた非営利団体・MITREが脆弱性ごとに識別子を付与する制度です。このCVEプログラムが、アメリカの国土安全保障省が資金提供契約を更新しなかったことで、現地時間の2025年4月16日をもって予算が失効することが明らかとなりました。
MITRE-backed cyber vulnerability program to lose funding Wednesday - Nextgov/FCW
https://www.nextgov.com/cybersecurity/2025/04/mitre-backed-cyber-vulnerability-program-lose-funding-wednesday/404585/
CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in limbo | CSO Online
https://www.csoonline.com/article/3963190/cve-program-faces-swift-end-after-dhs-fails-to-renew-contract-leaving-security-flaw-tracking-in-limbo.html
CVEプログラムは、サイバーセキュリティの分野において既知の脆弱性を一元的かつ標準的に識別・管理するための国際的な枠組みで、1999年に開始されました。CVEプログラムは非営利団体のMITREによって開発・運用・維持されており、民間企業から政府機関、国家安全保障、重要インフラに至るまで、幅広い分野で利用されています​。
CVEプログラムの核心は、発見された脆弱性に対して固有の識別番号を割り当て、研究者やベンダー、公的機関が同一の脆弱性について一貫した方法で情報を共有できるようにすることにあります。CVEプログラムの支援のもと、2025年時点でおよそ27万5000件もの脆弱性情報がカタログ化されており、こうして割り当てられた脆弱性情報は、公式サイトやGitHubを通じて一般に公開されています。
しかし、2025年4月15日付けでCVE理事会に送られた内部メモがBlueskyに流出しました。このメモには、「2025年4月16日(水)、MITREがCVEおよびCWEなどの関連プログラムを開発・運用・近代化するための現在の契約が失効します。政府は、MITREの同プログラム支援継続に向けて多大な努力を続けています」と書かれていました。
BREAKING.From a reliable source. MITRE support for the CVE program is due to expire tomorrow. The attached letter was sent out to CVE Board Members.
[image or embed]— Tib3rius (@tib3rius.bsky.social) 2025年4月16日 2:23
テクノロジー系ニュースメディアのNextgov/FCWに対し、MITRE・国土安全保障センターのYosry Barsoum所長は、CVEプログラムなど同組織が運営するプログラムへの資金提供が2025年4月16日で終了することを認めました。Barsoum所長によれば、MITREはCVEプログラムの運用資金をアメリカ政府からの資金提供契約によってまかなっており、その契約が4月16日で期限を迎えるとのこと。
この背景には、アメリカのサイバーセキュリティー・インフラセキュリティー庁(CISA)の大規模な予算削減と契約整理があると見られます。報道では、CISA内部で複数の契約が打ち切られたり放置されたりしたままになっているとの情報もあり、CVEを含む脆弱性管理業務がその余波を受けた可能性が高いとNextgov/FCWは報告しています。

議会関係者による証言では、CISA自体の組織縮小を求める声も出ており、「重要インフラの監視を担う役割は維持しつつも、予算や業務範囲を縮小すべき」との方針が背景にあり、今回の契約失効につながったと見られます。これに対して、議会の一部は強く反発しており、「CVEは世界のサイバーセキュリティの土台であり、これを打ち切るのは無責任で無知だ」と非難する声明を出しています。