欧州連合サイバーセキュリティ庁(ENISA)は2025年5月13日、欧州脆弱性データベース(EUVD)の完全版を正式に公開した。
EUVDはEUのネットワークおよび情報セキュリティ2指令(NIS2指令)に基づいて開発されたもので、情報通信技術(ICT)製品やサービスに影響を与えるサイバーセキュリティ脆弱性に関する集約された信頼性の高い実用的な情報を提供する。
EUVDは2024年6月に最初に発表され、2025年4月に限定アクセスのベータ版がリリースされていた。このデータベースは3つのダッシュボードビューを提供しており、重大な脆弱性、積極的に悪用されている脆弱性、そしてEU CSIRTsネットワークのメンバーによって調整された脆弱性を確認できる。
情報源としては、オープンソースデータベース、各国のCSIRTが発行する勧告やアラート、ベンダーが公開する緩和策やパッチのガイドライン、悪用された脆弱性の詳細などが含まれている。
ENISA事務局長のユハン・レパサールは「EUは脆弱性とそれに関連するリスクの管理を大幅に改善するための不可欠なツールを備えた」と述べている。
EUVDの公開は、米国の共通脆弱性識別子(CVE)プログラムを取り巻く不確実性の時期と重なっている。米国政府のCVEプログラムへの資金提供は2025年4月に期限切れとなる予定だったが、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が介入し、MITREとの契約を延長した。
ENISAはCVE番号付与機関(CNA)でもあり、CVEプログラムの下でCVE識別子を割り当て、脆弱性の開示を調整することができる。発表では「ENISAは、共通脆弱性識別子プログラムへの資金提供に関する発表に続く影響と次のステップを理解するためにMITREと連絡を取っています」と述べられている。
References:
As US vuln-tracking falters, EU enters with its own security bug database
【編集部解説】
欧州連合が独自の脆弱性データベース(EUVD)を完全運用開始したというニュースは、サイバーセキュリティの世界において非常に重要な動きです。この動きの背景には、米国の共通脆弱性識別子(CVE)プログラムを取り巻く不確実性があります。
EUVDは単なるデータベースではなく、サイバーセキュリティの脆弱性に関する情報を集約し、実用的な緩和策や悪用状況などを提供するプラットフォームとして機能します。これにより、企業や組織はより効率的にセキュリティリスクを管理できるようになるでしょう。
特に注目すべきは、このデータベースの登場タイミングです。米国では2025年4月にCVEプログラムの資金提供が期限切れとなる危機があり、CISAが土壇場で契約延長を決定したばかりでした。この状況は、グローバルなサイバーセキュリティインフラが単一国家の資金提供に依存することのリスクを浮き彫りにしています。
EUVDは3つのダッシュボードビューを提供しており、重大な脆弱性、積極的に悪用されている脆弱性、そしてEU CSIRTsネットワークによって調整された脆弱性を簡単に確認できます。これは米国のNVDと比較して、リアルタイム性と使いやすさの面で優れている可能性があります。
しかし、ここで考えるべき重要な問題は、地域ごとに異なる脆弱性追跡システムが生まれることによる断片化のリスクです。これは「インペリアル対メトリック」の問題よりも深刻かもしれません。理想的には、EUVDとCVEプログラムが互いに連携し、グローバルな一貫性を保つことが望ましいでしょう。
また、EUVDの登場は欧州のデジタル主権への取り組みの一環としても捉えられます。欧州が真にデジタル主権を真剣に考えるなら、米国の善意に頼り続けるのではなく、自ら主導権を握る必要があるのです。
ENISAはCVE番号付与機関(CNA)でもあり、CVEプログラムの下でCVE識別子を割り当て、脆弱性の開示を調整することができます。しかし、活動的なCNAとしても、ENISAは来年3月までMITREと契約している、米国政府資金提供のCVEプログラムの今後について不明瞭なようです。
EUVDの登場は、グローバルなサイバーセキュリティエコシステムの変化を象徴しています。これまで米国主導で進められてきた脆弱性管理の枠組みが、より多様化・分散化する方向に向かっているのです。これは一方では回復力(レジリエンス)の向上につながりますが、他方では情報の断片化というリスクも伴います。
私たちinnovaTopiaの読者の皆さんにとって、この動きは単なる技術的な変更以上の意味を持ちます。これはデジタル世界における地政学的パワーバランスの変化を示すものであり、企業のセキュリティ戦略にも影響を与える可能性があります。今後は、複数の脆弱性データベースを横断的に監視し、統合的なセキュリティ対策を講じることがより重要になるでしょう。
【用語解説】
CVE(Common Vulnerabilities and Exposures):
共通脆弱性識別子のこと。情報セキュリティの脆弱性に固有のID番号を付与し、データベース化したもの。米国の非営利団体MITRE Corporationが米国政府の支援を受けて管理している。
ENISA(European Union Agency for Cybersecurity):
欧州連合サイバーセキュリティ機関。2004年に設立され、EU加盟国のサイバーセキュリティレベルの維持と向上を目的としている。
EUVD(European Vulnerability Database):
欧州脆弱性データベース。EUのネットワークおよび情報セキュリティ2指令(NIS2指令)に基づいてENISAが開発した脆弱性情報を集約するプラットフォーム。
CSIRT(Computer Security Incident Response Team):
コンピュータセキュリティインシデント対応チーム。セキュリティインシデントの検知、対応、復旧を担当する専門チーム。
MITRE Corporation:
米国の非営利研究開発組織。CVEプログラムの運営や、MITRE ATT&CKなどのサイバーセキュリティフレームワークの開発を行っている。
CISA(Cybersecurity and Infrastructure Security Agency):
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁。米国土安全保障省傘下の機関で、国家のサイバーセキュリティを担当している。
【参考リンク】
ENISA(欧州連合サイバーセキュリティ機関)(外部)
EUのサイバーセキュリティを担当する機関。EUVDを運営している。
MITRE ATT&CK(外部)
実在するサイバー攻撃の戦術・技術を体系的に整理したナレッジベース。
CVE.org(外部)
共通脆弱性識別子(CVE)の公式サイト。脆弱性情報の検索や最新情報の確認ができる。
CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)(外部)
米国のサイバーセキュリティを担当する政府機関。CVEプログラムの資金提供を行っている。
【編集部後記】
皆さんの組織では、脆弱性管理にどのようなアプローチを取られていますか?今回のEUVDの登場は、グローバルなサイバーセキュリティ体制の変化を示す一例かもしれません。米国主導のCVEに加え、欧州独自のデータベースが誕生したことで、より多角的な情報収集が可能になります。これを機に、自社のセキュリティ体制を見直してみてはいかがでしょうか?複数の情報源を活用することで、より早く、より正確に脆弱性対策を講じることができるかもしれません。皆さんのご意見やご経験をSNSでぜひ共有ください。
