欧州連合サイバーセキュリティ機関(ENISA)は、欧州脆弱性データベース(EUVD)のベータ版を最近公開した。この新しい公共プラットフォームは、広く利用されている共通脆弱性識別子(CVE)システムと並行して運用されるが、独立して機能する。EUVDは、EU内での脆弱性対応における連携と透明性の向上を目的としている。
CVEシステムは依然として脆弱性報告の標準であるが、最近の政治的な動きにより、このプログラムの長期的な安定性についてコミュニティ内で懸念が高まっている。CVEプログラムは米国政府が資金提供するイニシアチブとして運営されているためだ。MITRE Corporationとの契約がぎりぎりで更新され、CVE理事会がCVE財団の設立を発表したものの、この出来事はグローバルなサイバーセキュリティ連携を単一の国家機関に依存するリスクを浮き彫りにした。
EUVDは、米国のCVEデータベースが機能しなくなった場合のバックアップと見なされる可能性があるが、新しいプラットフォームは追加機能も提供している。例えば、悪用された脆弱性の強調表示や強化された検索機能があり、ソフトウェア開発者やセキュリティ専門家がさまざまな属性を検索できる。また、ENISAは、EUVDが脆弱性勧告の機械可読形式である共通セキュリティ勧告フレームワーク(CSAF)をサポートする計画を立てている。admeritia GmbHのCTOであるSarah Fluchs氏は次のようにコメントしている。
タイミングが非常に良かったです。トランプ政権の緊縮財政措置により米国のCVEデータベースの資金が不安定になっていた矢先に、欧州版が稼働しました。米国は、当然のように利用されていたグローバルインフラに関して再び不安定なパートナーであることを証明しています。一方でEUは、官僚的な手続きや計画なしで、真剣な代替案を静かに、迅速に、そして何の宣伝もなく稼働させています。
/filters:no_upscale()/news/2025/06/cve-european-vulnerability-euvd/en/resources/1Screenshot%202025-05-30%20at%2012-07-24%20Vulnerability%20Database-1748605624430.png)
出典:ENISAウェブサイト
EUVDのFAQページによると、現在のデータベースはVulnerability-Lookupリポジトリを活用しており、報告された脆弱性を詳細な説明やメタデータとともに閲覧できる公共のオープンアクセスインターフェースを提供している。ENISAによれば、EUVDはリスク評価やインシデント対応を通じて、欧州のデジタル・レジリエンスを向上させることを目的としている。
サービスは依然としてMITREのCVEエントリを「代替ID」として参照しているが、EUVDは単にCVEのIDを複製するのではなく、独自の識別システムを使用している。この新しいアプローチにより、報告の独立した検証が可能となり、既存のエントリを補完する形で機能している。
さらに、新しいプラットフォームは、既存のデータベースで十分に報告されていない、またはカバーされていない可能性のある脆弱性、特に欧州のデジタル環境に関連するものに焦点を当てられる。Redditでは、ほとんどのユーザーが脆弱性の追跡を米国の機関に依存しないことに賛成している一方で、新しいIDについて疑問を呈する声もある。ユーザーElistic-Eは次のようにまとめている。
これは素晴らしいですが、また新しいIDを追跡しなければならない可能性があります。
コミュニティのフィードバックは、地域のニーズに焦点を当てたデータベースが価値を提供する可能性があることを示唆しているが、一部の専門家は基礎データに対して懐疑的な見方をしている。
それが既存の(主に米国ベースの)データベースの集約に過ぎないのでなければ、真実でしょう。新しい識別子を追跡する必要がある以外には何も新しいものを提供していません。EUVDに大きな期待を寄せていましたが、実際のデータを見た後では少しがっかりしています。
EUVDの取り組みは、欧州のデジタル主権を向上させ、EU加盟国全体のサイバーセキュリティ能力を強化するための広範な努力の一環である。データベースは現在ベータ段階にあり、ENISAは国の当局、民間企業、学術機関に対して脆弱性の提出やセキュリティ評価のためのプラットフォーム利用を奨励している。
EUVDは、米国企業への依存や主権に関する懸念に対応するために、従来のCVEシステムと互換性のある脆弱性データベースを提供することを目指す唯一のイニシアチブではない。グローバルCVE(GCVE)割り当てシステムは、脆弱性の識別と番号付けに対する分散型アプローチを提供している。