欧州のサイバーセキュリティ機関は本日、新たな脆弱性データベース構想の正式な立ち上げを発表した。大西洋の向こう側で最近起きている混乱を踏まえると、ネットワーク防御側にとって有用となり得る。
以前にInfosecurityが報じたとおり、欧州脆弱性データベース(EUVD)はこれまでベータ版として運用されてきた。新しいNIS2指令の要件としてENISAが開発したもので、表向きには米国のNational Vulnerability Database(NVD)と同様の形で機能する。
EUVDは、サイバーセキュリティ上の脆弱性、その悪用状況、推奨される緩和策に関する情報を、集約した一元的な情報源として提供する。
脆弱性情報は、Computer Security Incident Response Teams(CSIRTs)、ベンダー、そしてCISAのKnown Exploited Vulnerability CatalogやMITREのCVEプログラムといった既存データベースなど、複数の情報源から提供される。情報は自動的にEUVDへ転送される。
脆弱性に関する関連記事を読む: NISTの混乱が続く中、サイバー専門家がCVEのアップロード停止を訴える。
ENISAは、このデータベースの主な利用者として、一般市民、ネットワークおよび情報システム提供者とその顧客、民間企業と研究者、そしてCSIRTsのような国家当局を想定していると述べた。
これらの組織の多くは、CISAが非営利団体MITREの契約を土壇場でさらに11カ月延長するために介入せざるを得なかったことを受け、CVEプログラムの長期的な将来を懸念している。
EUVDは利用者に3つのダッシュボードを提示する。重大な脆弱性向け、悪用されている脆弱性向け、そして欧州のCSIRTsが担うEU協調のもの向けの3つだ。各項目には「EUVD」識別子が付与されるほか、掲載されているCVE ID、さらに場合によってはCloud Security AllianceのGlobal Security Database(GSD)やGitHub Advisories(GHSA)など、他の識別子も付与される。
EUVDのデータ記録には、次のような内容が含まれ得る:
- 脆弱性の説明
- 影響を受けるIT製品またはサービス、影響を受けるバージョン、脆弱性の深刻度、および悪用され得る方法
- 利用可能なパッチ、またはCSIRTsやその他当局による緩和策のガイダンスに関する情報
「EUは今、脆弱性の管理とそれに伴うリスクを大幅に改善するために設計された、不可欠なツールを備えることになった」と、ENISAのエグゼクティブ・ディレクターであるユハン・レパサール氏は述べた。「このデータベースは、影響を受けるICT製品およびサービスのすべての利用者に対する透明性を確保し、緩和措置を見いだすための効率的な情報源となるだろう」
翻訳元: https://www.infosecurity-magazine.com/news/european-vulnerability-database-us/
