欧州は、米国にそれほど強く依存することなくデジタル世界を守ることを目指し、ソフトウェアのセキュリティ脆弱性を追跡する独自の仕組みを正式に立ち上げました。GCVE(Global Cybersecurity Vulnerability Enumeration)として知られるこの新プロジェクトは、db.gcve.euに置かれた公開データベースです。ここにはセキュリティ脆弱性が掲載されており、これは基本的に、ハッカーがシステムに侵入するために悪用し得るコンピュータコード上のバグや弱点のことです。
旧来の仕組みからの脱却
長年にわたり、世界はオンライン上の脅威に名前を付けて追跡するため、米国拠点のCVE(Common Vulnerabilities and Exposures)というプログラムに依存してきました。しかし、米国のこの仕組みが2025年に終了する可能性があるという以前からの懸念が、技術コミュニティに「一時的な不安」を広げ、単一の情報源に過度に依存することはリスクになり得るという感覚を生みました。
これを解決するため、欧州連合はGCVEイニシアチブに資金を拠出し、「デジタル主権」と呼ばれる、自らのセキュリティデータに対する欧州の統制を強化しました。この新システムはComputer Incident Response Centre Luxembourg(CIRCL)が運用し、誰もが無料で利用できる「分散型の欧州代替案」を作ることを目標としています。
欠陥を報告する新しい方法
GCVEの仕組みは、従来の方法とは少し異なります。というのも、多くのデータベースは中央集権型で、1つの本部が新しい報告のたびに承認しなければならないからです。これに対し、GCVEは分散型のアプローチを採用しています。
これにより、GCVE Numbering Authorities(GNA)として知られる複数の認可されたグループが、中央当局の承認を待つことなく、新たなセキュリティ上の欠陥に対して直ちにID番号を付与できます。
注目すべき点として、この新プラットフォームはゼロから始めるわけではなく、すでに25以上の異なるソースからデータを集約しています。情報源によれば、このシステムはこうした雑多な情報を正規化、つまり整理・整頓して、ITの専門家が容易に検索できるようにしているとのことです。
さらに利便性を高めるため、このプラットフォームにはオープンAPI(異なるコンピュータプログラム同士が自動的にやり取りできるようにするツール)も含まれています。これにより、データベースを企業がすでに利用しているセキュリティツールへ直接組み込むことが可能になります。その結果、セキュリティ担当者、研究者、ソフトウェア開発者は、新たな脅威をより効率的に追跡・分析できるようになります。
間違いなく、この取り組みは世界がサイバー脅威に対処する方法における大きな転換点を示しています。既存のグローバルシステムのバックアップを作ることで、たとえ1つのプログラムが機能しなくなっても、企業や政府のデジタル防御が強固に保たれるよう、欧州は備えを整えています。
グローバルセキュリティに関する専門家の見解
「これは、組織がCVEを理解するうえで支援となる良い取り組みであり、昨年ほぼ資金が打ち切られかけて世界のサイバーコミュニティに衝撃を与えた米国のCVEプログラムへの世界的な依存も軽減するでしょう」と、Talionで脅威インテリジェンス部門責任者を務めるNatalie Page氏はHackread.comに語りました。
「CVEプログラムを多様化することで、評価や開示を単一の組織だけに依存しない世界になります。ただし、このプログラムにおける唯一の注意点は、組織を混乱させたり、CVE追跡との不整合を生じさせたりしないことを目指すべきだという点です。米国のCVEプログラムと同様の用語や評価を用い、互換性を確保することを目指すべきです」と、Page氏は付け加えました。
William Wright氏(Closed Door SecurityのCEO)もこの動きについてコメントし、今回の措置は世界の安全にとって不可欠だと述べました。Wright氏は、昨年の米国の資金拠出をめぐる不確実性が「非常に憂慮すべき」だったと指摘しました。というのも、世界がその1つのデータベースに大きく依存しているからです。Wright氏は、もしそのプログラムが突然終了すれば、解決策を求めて奔走する間、「混乱を招き、公的部門も民間部門も盲目状態になる」と語りました。
「もう1つの主要プログラムを確立することで、CVEプログラムの停止が単一障害点になるのを防げます。さらにGCVEの確立は、CVEプログラムの継続的な資金拠出をめぐる不確実性に先手を打つものであり、仮に停止されることがあっても、GCVEシステムが代替手段を提供し、サイバーセキュリティ研究者や専門家が直ちに頼れるようになります」とWright氏は説明しました。
また同氏は、「既存のCVEプログラムの速度をめぐる懸念も高まっています。現在、中央で検証してプラットフォームに記録する必要がある脆弱性が大量に滞留しており、MITREが現代の脅威環境のスピードと規模に対応しきれていないのではないかと指摘する声もあります」と警鐘を鳴らしました。
Wright氏は、「新しいEUのプログラムは分散型でCVEと相互互換性を持つよう設計されており、複数ソースのデータを補完して正規化し、中央の承認を必要とせず、指定されたGCVE Numbering Authorities(GNA)によって脆弱性を文書化し公開できるようにします」と指摘しました。
「これにより、より迅速で堅牢な文書化プロセスが可能になり、政府や企業が深刻な脅威により素早く対応できるようになることが期待されます。“
翻訳元: https://hackread.com/eu-launches-gcve-track-vulnerabilities-us/
