欧州サイバーセキュリティ機関(ENISA)は、NIS2指令に基づく脆弱性管理強化の一環として「EU脆弱性データベース(EUVD)」の運用を開始。EUVDは、ICT製品やサービスに影響を与えるサイバー脆弱性の情報を集約し、緩和措置・悪用状況などの実用的な情報を提供する信頼性の高い情報源として構築された。
■ 主な目的と意義:
- 脆弱性に関する公開情報の高度な相互接続
- CSIRTやベンダー、研究者によるサイバーリスクの分析と対応を支援
- EU市場のセキュリティ基準の向上とデジタル空間の自律的保護
■ 機能概要:
- 3つのダッシュボード表示(重大脆弱性/悪用中の脆弱性/EU調整済み脆弱性)
- オープンソースデータベースやCSIRT・ベンダー提供情報を活用
- CSAF規格を使い、機械可読なアドバイザリ提供を推進
■ 対象と活用者:
- 一般公開されており、CSIRT・IT事業者・研究者・国家当局などが利用可能
- 脆弱性の説明、影響を受ける製品・バージョン、深刻度、緩和策等の情報を掲載
■ ENISAの役割と国際連携:
- CVE番号付与機関(CNA)としての権限を持ち、CVE IDの登録・公開を実施
- MITRE、CISA、各国CSIRTと連携し、共通脆弱性公開の国際枠組みを整備
■ EUVDとCRA(Cyber Resilience Act)の違い:
- EUVDはNIS2の下で構築されたインシデント・リスク管理向けのデータベース
- CRAで義務化される製造業者の届出はSRP(Single Reporting Platform)を通じて行う
■ 今後の展望:
2025年はさらなる改良と機能拡充を図り、ユーザーからのフィードバックをもとにEUVDの進化を継続予定。この取り組みは、欧州全域のサイバーセキュリティ状況認識と対応力の強化に資する重要なインフラの整備として評価されている。