欧州は米国の共通脆弱性情報(CVE)データベースに完全な信頼を置いていないため、独自のCVEデータベースを構築しました。5月13日現在、欧州脆弱性データベースが稼働しています。
欧州連合サイバーセキュリティ機関(ENISA)によると、サイバー研究者は、この新しいサービスを通じて、公開された脆弱性に関する悪用状況、緩和策、その他の情報を入手できるようになる。データは、インシデント対応勧告、ITベンダーが提供する緩和ガイドライン、既存のオープンソースデータベースから取得され、ほぼリアルタイムで更新される。
脆弱性管理を改善し、リスクを軽減するための「必須ツール」
サイバー専門家や愛好家は、新しい欧州脆弱性データベースを使用して、脆弱性情報(説明、影響を受ける製品、緩和策、攻撃ベクトルなど)を検索できます。このデータベースには3つのダッシュボードビューがあり、重大な脆弱性、積極的に悪用されている脆弱性、EUインシデント対応チームが調整している脆弱性がハイライト表示されます。
「EUは今、脆弱性とそれに伴うリスクの管理を大幅に改善するために設計された重要なツールを備えています」と、ENISAのエグゼクティブディレクター、ユハン・レパサール氏はプレスリリースで述べています。「このデータベースは、影響を受けるICT製品およびサービスのすべてのユーザーに対して透明性を確保し、緩和策を見つけるための効率的な情報源となるでしょう。」
ENISAは、NIS2指令に基づく任務の一環として、2024年6月に欧州脆弱性データベースを初めて発表しました。同時に、ENISAはCVE採番機関となり、EU内で新たに発見された脆弱性にCVE識別子を割り当て、管理できるようになりました。
「EUが地域データベースを望むのは理にかなっている。たとえそれがCVEプログラムと大部分が重複しているとしても、地域の利害関係者に合わせたより強力な制御とカスタマイズが可能になるからだ」と、インテリジェンスプラットフォームVulnCheckのセキュリティ研究者、パトリック・ギャリティ氏はTechRepublicへのメールで述べた。
「ENISAイニシアチブはCVEプログラムを置き換えることを意図したものではなく、実際にはCVEプログラムと緊密に連携して開発されました。とはいえ、NIST NVDとCVEプログラムの資金危機に対する懸念が広く表明されている時期に、ENISAイニシアチブが開始されたことは事実です。」
米国の脆弱性システムは長い間苦戦を強いられてきた
EUVD は、米国の CVE データベースが問題を抱えていた時期に開始されました。
4月には、CVEを運営する非営利団体MITREへの資金提供を米国政府が停止するのではないかという懸念が広まり始めました。米国サイバーセキュリティ・インフラセキュリティ庁は、支援を延長する旨の通知を速やかに発表しました。しかし、この延長は10ヶ月後に失効するため、データベースの将来は不透明です。
過去1年ほど、米国国立標準技術研究所(NIST)は、MITREが提供するデータベースのより包括的なバージョンである独自の国家脆弱性データベースへの登録申請のバックログに悩まされてきました。この問題は、NISTが人員とリソースの制約により、CVEエントリの分析を一時的に縮小すると発表した2024年2月に発生しました。
ドナルド・トランプ米大統領がCISAの予算を1,000万ドル削減し、人員削減も決定したが、状況の改善にはつながらなかったようだ。トランプ政権は、CISAの誤情報対策、特に米国選挙に関する活動を「検閲産業複合体」と呼んでいる。ホワイトハウスが提出した2026年度予算案が承認されれば、CISAは4億9,100万ドルの損失を被ることになる。
月曜日、CISAはウェブサイトで「緊急」なセキュリティアラートのみを公開すると発表しました。その他の定期的な更新情報や新しいガイダンスは、メールとCISAのソーシャルメディアプラットフォームを通じてのみ配信されます。
