CVE Foundationが取締役会と今後の計画を明らかに。安定性のために複数の収入源による財務基盤を確立など

4月に設立された「CVE Foundation」は、ソフトウェアの脆弱性に対して固有の番号を付与する「CVE」（Common Vulnerabilities and Exposures）プログラムを実行するための非営利団体です。

CVE Foundation設立の経緯

CVEプログラムは開始以来25年間、米国国土安全保障省から資金提供を受けた非営利団体のMitre社が中心となって運営を担ってきました。しかし今年（2025年）の4月15日に、米国国土安全保障省はMitre社への資金提供契約を更新しないことを通知します。

CVEはグローバルなIT業界におけるソフトウェア脆弱性情報のカタログとして機能しており、セキュリティ対策において非常に重要な存在です。それが資金提供が途切れてCVEプログラムが停止するとなると、大げさでなく世界のセキュリティ対策に大きな影響を及ぼします。

結局、資金提供契約はぎりぎりで延長が決定されたようですが、こうした経緯を背景に、米国政府からの資金援助に依存しているCVEプログラムを、より中立で持続可能な組織にするために立ち上げられたのが「CVE Foundation」です。

参考：CVE Foundationが発足。脆弱性に固有の番号を付与するCVEプログラムの長期的な安定性、独立性を確保

CVE Foundationは急きょ設立したこともあって、設立時には組織体制や計画などについてなにも発表されていない状態でしたが、6月5日にWebサイトを更新。Board of Directors（取締役会）の設立と今後の計画について明らかにしました。

取締役と今後の計画が明らかに

発表内容によると、CVE Foundationの5人の取締役会メンバーが決定し、以下の計画が設定されました。

• 組織の長期的な安定性のために複数の収入源による財務基盤を確立する
• CVE番号を付与できる権限を与えられたRoot CNAやそれ以外のCNA（日本だとJPCertなど）などのパートナーと緊密に連携する
• 米国土安全保障省の外局機関であるCISA（Cybersecurity and Infrastructure Security Agency）やMitre社との協業を開始する
• 寄付控除の対象団体となる501(c)(3)の手続きを完了し、組織拡大のための組織運営とそれを主導する体制を準備する

また、同団体への寄付や協業に興味がある場合は[email protected]までコンタクトしてほしいとしています。