米 NVD/CISA の課題と欧州の対応 =====
2025.04:NVD が CVE バックログ解消へ向けて体制を刷新
2024年2月から発生した NVD (National Vulnerability Database) の
更新遅延が続いていたが、2025年4月に体制の刷新を発表。
・2018年以前の CVE について、現在も補足情報 (エンリッチメント) 待ちのものについては、
NVD データセット上で “Deferred (保留) ” とマーク
・AI 活用による CPE データの自動化の模索
・Linux カーネル CVE データ処理の自動化 など
参考 ===
2025/05/27:NIST NVD:米商務省 (DoC) による監査の実施が判明
2025/04/16:CVE プログラムへの政府資金が終了? MITRE が懸念
2025/04/11:NVD が体制を刷新:CVE バックログ解消へ向けて
2025/03/19:NVD バックログの解消に苦戦:今後も停滞が続く?
2025.06:CISA の予算削減が発表
2026年度予算案において、CISA (Cybersecurity and Infrastructure Security Agency) に対する大幅な削減が提案されている。この計画が議会で承認されると、2018年の CISA 設立以来、最大幅の縮小となる。
・CISA の運営予算が $500M 近く削減
・職員の約 30% (3,732人から 2,649人) を解雇
参考 ===
2025/06/03:トランプ予算案 2026:CISA の 予算 $500M と 約 30%の職員が削減
2025.05:NIST が LEV(Likely Exploited Vulnerabilities)を発表
・2025年5月、米国NIST(国立標準技術研究所)が発表した新たな脆弱性評価指標
・過去に悪用された確率を算出(観測情報がなくても推定可能)
・EPSSの履歴データを元に、時系列的な確率推移を数式化
・日本のNICT(情報通信研究機構)も導入を検討中
参考 ===
2025/05/19:Likely Exploited Vulnerabilities:NIST CSWP 41
2025/05/20:LEV による KEV と EPSS の強化:CISA と NIST による新たな指標
欧州の動き:GCVE / EUVD の設立
| 特徴 | NVD | GCVE ※1 | EUVD※3 |
| ガバナンスモデル | 米国NIST(国立標準技術研究所)による中央集権的管理 | 独立した採番期間 (GNA) による分散型・連合型管理。 | EU 機関 (ENISA) による管理。加盟国 CSIRT が協力。 |
| 主要な情報源 | MITRE CVE プログラム | 各 GNA が自らの責任範囲で収集・生成 | CVE/CISA KEV/ベンダ/EU 加盟国 CSIRT からの直接報告 |
| 主要な差別化要因 | CVSS スコアと CPE によるエンリッチメント | 中央機関への非依存、ポリシーの柔軟性、スケーラビリティ | EPSS スコアの標準採用、EU 固有の文脈情報の付与 |
| 法的・規制的背景 | FedRAMP などで利用が義務付けられるが、情報提供の強制力は無い | なし。コミュニティ・ベースの自主的な枠組み | NIS2 指令と CRA※2 により、メーカーに脆弱性報告を法的に義務付け |
| 戦略的意義 | 長年のデファクト・スタンダード。歴史的データの宝庫だが、信頼性と即時性に課題。 | 既存の中央集権モデルのボトルネックを解消する、未来のアーキテクチャ案。まだ概念段階。 | 「デジタル主権」を目指すEUの戦略的ツール。法規制を背景に、高品質なデータ収集が期待される。 |
※1:GCVE (Global CVE Allocation System)
2025年4月、ルクセンブルク の CIRCL (Computer Incident Response Center Luxembourg) が発表。
・従来の CVE プログラムの中央集権型のボトルネックを排除
・脆弱性対応のスピードと柔軟性を向上
・脆弱性の識別と番号付けを分散型に変更
・各認定機関 (GNA:GCVE Numbering Authorities) が独自に ID を付与
参考 ===
2025/04/18:GCVE という新たな取組:CVE ID 管理を中央集権から分散へ
※2:サイバーレジリエンス法(CRA:Cyber Resilience Act)
2024年にEUで正式採択された製品安全性に関する新しい規則
・IoTやソフトウェア製品のセキュリティ義務化
・脆弱性の開示と対応を義務化
・製品ライフサイクル全体でのセキュリティ保証
CRA により、メーカーは脆弱性報告から最大24時間以内にEUVDへ報告することが求められる。つまり、製品開発者だけでなく欧州のサプライチェーン全体に対してセキュリティ責任が拡大するという大きな変化。
※3:EUVD(EU Vulnerability Database)の目的と仕組み
EUのサイバーセキュリティ機関である ENISA が、NIS2 指令に基づき立ち上げた脆弱性データベース
特徴
1.複数の情報源を積極的に集約/統合
・CVE
・CISA KEV カタログ
・ベンダーアドバイザリ
・EU 加盟各国の CSIRT からの情報
2.CVSS スコアだけでなく EPSS スコアを標準で取り込んでいる
3.EU市場における強力な法的義務(CRA)
今後、EU 市場に関連する製品を利用している場合は、コンプライアンスの観点から監視が必須に?
参考:EUVD データベース
IoT OT Security News 