FixV2W：知識グラフ埋め込みで不正確なCVE-CWE対応を補正する

要旨: 共通脆弱性および露出（Common Vulnerabilities and Exposures, CVE）と共通弱点タイプ（Common Weakness Enumeration, CWE）のエントリ間の正確な対応付けは、効果的な脆弱性管理およびリスク評価にとって極めて重要である。しかし、国立脆弱性データベース（National Vulnerability Database, NVD）などの公開データベースでは、CVEからCWEへの対応付けが一貫性を欠き、また不完全であるため、自動解析や是正が複雑になる。本研究では、知識グラフ埋め込みと時系列的なトレンドを活用し、NVDの対応付け精度を向上させる軽量アプローチであるFixV2Wを提案する。FixV2Wは、過去の再マッピング（remapping）パターンを体系的に分析し、NVDデータとCWEデータ内の階層的関係を活用して、禁止または禁止推奨（Prohibited または Discouraged）カテゴリに結び付く脆弱性に対する、より正確なCWE対応を予測する。FixV2Wの広範な実験的評価を、2021年8月から2024年12月までに収集したテストデータセットに基づいて実施する。上位10件の予測（Top 10 ranked predictions）を考慮すると、FixV2Wは、悪用される前にCWEが無効だった悪用済み脆弱性の69%について、正しいCWE対応を予測できることが示される。また、NVDデータに依存する機械学習（ML）モデルの性能をFixV2Wが大幅に向上させることも示す。例えば、未知のCVE-CWE対応を見つけ出すことを目的としたモデルでは、FixV2Wにより平均逆順位（Mean Reciprocal Rank, MRR）が0.174から0.608に改善される。これらの結果は、FixV2Wが、出現しつつある脅威を特定し、その芽を摘むための有望なアプローチであることを示している。