EUVD (European Vulnerability Database)について

European Vulnerability Database(EUVD)は、欧州連合(EU)のサイバーセキュリティ機関であるENISAが、NIS2指令に基づき開発・運用している脆弱性データベースです。実際に、EUVDサービスは現在運用中となっています。

本記事では、ENISAの資料などを元にして、EUVDについて簡単にまとめます。

ENISA

 ENISAは、欧州連合(EU)加盟国間のサイバーセキュリティ協力を強化し、政策の実行や技術的支援を担うEUサイバー機関(European Union Agency for Cybersecurity-旧称 European Union Agency for Network and Information Security)になります。

EU MAGの記事によると、2024年で設立20周年を迎えたENISAは、2019年に発効した「EUサイバーセキュリティ法(EU Cybersecurity Act)」に基づいて役割と権限が強化され、常設のEU機関となっています。

ENISAは、EUにおけるセキュリティの重要な機関であり、実質的にサイバーセキュリティのハブとなっています。

また、ENISA は 2024年からCNAとして動いており、以下の様な脆弱性の登録と開示をサポートしています。

  • EU CSIRT自身が発見したIT製品の脆弱性
  • 別のCNAの範囲内になく、協調開示のためにEU CSIRTに報告された脆弱性

NIS2指令について

NIS2指令とは、EU域内の重要インフラやデジタルサービスなど幅広いセクターにサイバーセキュリティ対策の強化を義務付ける法律です。2023年1月に発効し、2024年10月までにEU加盟国が国内法化しました。

この制度はEUでビジネスを行っている日本企業にも適用される可能性があります。特にEU子会社を持つ企業では適切な対応が不可欠となっています。

EUVDとは

 EUVDはCSIRT、ベンダー、既存の各国のデータベースなど、複数の情報源から得られる公開情報を接続・集約しています。内部的にはOSSのVulnerability-Lookupを使用しています。このVulnerability-Lookupに関しては、また別記事で紹介します。

 このデータベースは、製品やサービスに影響を与える脆弱性に関する情報を参照するために、一般の人間がアクセス可能になっています。EUVDに記録された情報は、EU CSIRTネットワークなどの管轄当局、民間企業、研究者も利用が出来ます。

データ収集源

Vulnerability-LookupのDocumentationにも載っていますが、cve.orgやNVD、CISAだけでなく、日本のJVNDBなど様々な情報源から情報を収集しています。

画像はVulnerability-Lookup: Documentationより引用。様々なDBが情報源となっている。

ダッシュボード

実際にEUVDにアクセスすると、3つのカテゴリに分かれている事に気づくと思います。

https://euvd.enisa.europa.eu/より
https://euvd.enisa.europa.eu/より

Critical Vulnerabilities

ここには、CVSSスコアが9.0〜10までの脆弱性が表示されます。

Exploited Vulnerabilities

ここにはCISA KEVや他の情報源から「Exploited(悪用されている)」という情報が入ってきたものが表示されます。

EU CSIRT coordinated vulnerabilities

ここには、EU CSIRTが取りまとめを行った脆弱性が表示されます。アサインとしてはENISA,NCSC-FI(フィンランド),NSCS-NL(オランダ),CERT-PL(ポーランド),SK-CERT(スロバキア),INCIBE(スペイン)となっています。

EUVD と CRA 単一レポートプラットフォーム(SRP)の違い

ENISAのEUVDに関する説明にも載っている通り、EUVDはサイバーレジリエンス法(CRA)の単一報告プラットフォーム(SRP)ではありません。EUVDはあくまでもNIS2指令からくる脆弱性DBであり、CRAから来るSRPとは異なることには注意が必要です。

参考情報

ENISA: Consult the European Vulnerability Database to enhance your digital security!

ENISA: Another step forward towards responsible vulnerability disclosure in Europe

EU MAG: EUのサイバーセキュリティの取り組みについて教えてください

PWC: 欧州のサイバーセキュリティに関する法令、NIS2指令とは

PWC: 欧州NIS2指令に向けた日本企業の備え

Vulnerability-Lookup: Vulnerability-Lookup

Vulnerability-Lookup: Documentation

EU: サイバーレジリエンス法

関連記事:

【講座紹介】Web&オフィススペシャリスト養成科5月 のご紹介!【離職者等再就職訓練】【知らないと損】ChatGPTで作業効率UP!たった2時間で未来のスキルをゲット!能動的サイバー防御とは? 攻めの守りを分かりやすく解説!ランサムウェア攻撃からの復旧。ネバダ州の事例を読んで