2025年4月、MITREが米政府からのCVEプログラム運営契約の更新停止を通告され、サイバーセキュリティ界に衝撃が走りました。
25年にわたり脆弱性識別の中核を担ってきたMITREの離脱は、CVE管理の混乱や攻撃増加を招く恐れがありました。
CISAの一時的な資金延長で危機は回避されましたが、今後の持続性には不透明さが残ります。
今回の件は、脆弱性管理の分散化や多様な情報源の活用、CVE Foundationなど代替ガバナンス体制の構築を促す契機となりました。