CVEとは(番号の意味と読み方)
CVEは、公開された脆弱性に付く共通の番号(識別子)です。
社内・取引先・OEM・ツールベンダーなど、立場が違っても「同じ脆弱性を同じ番号で指せる」ようにするために使われます。
注意点として、CVEは“危険度そのもの”ではありません。危険度(深刻度)は別の指標(例:CVSS)で判断します。
CVE番号の見方(CVE-YYYY-NNNN)
CVEは一般的に次の形式で表されます。
(またはNNNNN以上)
意味はシンプルです。
- YYYY:年(※「発見した年」ではなく、IDが付与された/公開された年として扱われることがあります)
- NNNN…:通し番号(桁数は4桁固定ではなく、5桁以上になることもあります)
例:
- CVE-2024-12345
- CVE-2023-0001
CVEの読み方(日本語でどう読む?)
CVEは日本語では一般に次のように読みます。
「シーヴィーイー」(または「シーブイイー」)
番号の部分はそのまま読み上げればOKです。
例:CVE-2024-12345 → 「シーヴィーイー にーぜろによん いちにーさんよんご」
CVEと似た用語の違い(混同しやすい3つ)
現場でまず必要なのは、「CVE=番号」「CVSS=危険度の目安」と分けて理解することです。
CVEが出たときに、サプライヤーが最初にやること
CVEが公開されたら、最初の一手はこの順番が崩れにくいです。
- 自社製品に入っているか確認(SBOM/部品表/利用OSS一覧)
- 対象バージョンか確認(どの製品版まで影響するか)
- 優先度を決める(対応必須/要確認/対応不要)
- OEMに返す情報を整える(結論・根拠・対応方針)
- 判断の証跡を残す(後で監査・照会に耐えるため)
FAQ:CVEとはでよくある質問
Common Vulnerabilities and Exposures の略として使われ、公開脆弱性を共通の番号で扱うための仕組みです。
発見年とは限りません。公開・付与の扱いと混同しないよう注意が必要です。
固定ではありません。4桁以上(5桁、7桁…)になることがあります。
CVEは番号なので危険度は直接は分かりません。危険度の目安はCVSS等で確認します。
まずは「自社製品に入っているか(SBOM/部品表)」と「対象バージョンか」を確認し、次にトリアージ(優先度付け)へ進むのが定石です。
毎日のCVEチェックに疲弊していませんか?
CVEが多すぎて「どれをトリアージ対象にするか」を自社向けに整理したい方、日々の脆弱性チェックを自動化したい方は、無料相談をご利用ください。