VEXとは
(「対応不要」を説明するための標準)
VEXとは Vulnerability Exploitability eXchange のことで、ひとことで言うと 「その脆弱性が、その製品の文脈で本当に影響するか」を表現するための仕組み です。
CycloneDXはVEXを、脆弱性が特定製品の中で実際に悪用可能かどうかを伝えるための機械可読な仕組みと説明しています。
つまり、一般的な脆弱性情報(CVEなど)より一歩進んで、“この製品では関係あるのか、ないのか” を伝えるためのものです。
なぜVEXが必要なのか
CVEやCVSSだけでは、脆弱性が存在することや深刻度の目安は分かっても、自社製品に本当に影響するか は分かりません。
CISAの「VEX minimum requirements」でも、VEXは not_affected、affected、fixed、under_investigation のような状態で、製品ごとの影響有無を表す考え方として整理されています。
サプライヤー実務では、これによって「影響なし」「影響あり」「調査中」を、対象版数と根拠つきで揃えて説明しやすくなります。
VEXの4つの基本ステータス
実務でまず覚えるべき状態は、以下の4つです。
自動車サプライヤーの実務において特に重要なのは not_affected と under_investigation です。
なぜならOEMからの照会では、「今は影響しない理由(根拠)」か「まだ結論が出ないので次回いつ更新するか(調査中)」を、明確に返す必要があるからです。CISAのガイダンスでも、最初に under_investigation を出し、調査が進んだら affected や not_affected に更新するやり方が想定されています。
VEXが「対応不要」の説明に強い理由
VEXの価値は、“影響なし”をただの感覚ではなく、理由(ジャスティフィケーション)付きで示せること にあります。
CISAの minimum requirements では、not_affected の場合に justification(正当化理由)や impact statement(影響の声明)が必要とされており、たとえば以下のような説明が想定されています。
- そもそも該当する脆弱な部品が入っていない
- 脆弱なコードが含まれるが、実行される経路にない
- 攻撃者がその機能を外部から制御・到達できない
つまりVEXは、サプライヤーがOEMに対して 「対応不要です」と、説明責任(アカウンタビリティ)付きで返すための標準的な考え方 と言えます。
よくある誤解
-
VEXがあれば全部自動で判断できる
→ いいえ。 前提になるのは対象版数の正確な把握、SBOM、製品構成、そして攻撃の到達性(Reachability)の確認です。VEXはあくまで「その結果を表現する箱」です。
-
not_affected は“影響なし”と一言書けばよい
→ いいえ。 単なる「影響なし」ではOEMの監査を通りません。影響がないと判断した明確な「理由」、判断した「前提条件」、そしてその「証跡」が必要です。
-
under_investigation は単なる時間稼ぎ・逃げ
→ いいえ。 「次回更新日(ステータスを更新する予定日)」が設定されていれば、それはSLAと期限を守るための立派な実務的運用です。放置されるより遥かに信頼されます。
FAQ:VEXとは(よくある疑問)
脆弱性が、その製品の文脈で本当に影響するかどうかを表現するための仕組み(フォーマット・考え方)です。
not_affected、affected、fixed、under_investigation の4つです。
サプライヤー実務では、「影響なし」「影響あり」「調査中」を根拠(Justification)付きで揃えて説明しやすくなります。特にOEMからの脆弱性調査照会に対して、監査に耐えうる回答を作る場面で効果を発揮します。
「対応不要」の根拠を、自社でどう残すか迷っていませんか?
脆弱性トリアージの判断基準(VEXのステータス付与ルール)や、OEMにそのまま提出できる根拠の整理方法を自社向けに構築したい方はご相談ください。