欧州は、発足させた独自の仕組みにより、 ソフトウェアの脆弱性を監視する:グローバルCVE割り当てシステム(GCVE)である。この新興プラットフォームの立ち上げにより、欧州連合は、米国連邦資金によって維持されている米国のCVEデータベースが停止する可能性をめぐる高まりつつある不安に対応した。
GCVEの作業は前年4月に開始され、欧州脆弱性データベース(EUVD)の公開と時を同じくした。本プロジェクトの目的は、海外ソリューションへの依存を緩和し、この地域のデジタル主権を強化することにある。1月7日から一般公開されているこのサービスは、非営利団体MITREコーポレーションが維持する米国CVEシステムに対する分散型の代替として位置づけられている。
GCVEは、ルクセンブルクのコンピュータ・インシデント対応センター(CIRCL)によって設計された。設計者によれば、このプラットフォームはコミュニティ志向でオープンデータに基づいており、MITRE自身を含む25以上の公開リポジトリからのセキュリティ情報を統合している。この集約により、データの冗長性と業界の分断を抑えつつ、脅威追跡の網羅性と迅速性が高まる。
英国企業Closed Door Securityの責任者であるウィリアム・ライトは、GCVEの設立を、欧州内外のデジタルインフラのレジリエンスを高め得る時宜を得た介入だと見なしている。彼は、米国システムが突然停止すれば組織的混乱を招き、企業や政府機関が脅威に迅速に対応する能力が損なわれると主張する。こうした背景のもと、代替メカニズムの存在は、業界全体の信頼性を守る安全策として受け止められている。
新システムは、中央集権的な裁定なしに、脆弱性データを独自に登録・公開できる権限を与えられた信頼組織のネットワークを通じて運用される。これにより、データ処理サイクルがより迅速になり、現在米国側の仕組みを悩ませている官僚的停滞が最小化される。GCVEの立ち上げは、2025年春の不安定な状況への反応でもあった。当時、米国国土安全保障省はCVEプログラムへの資金更新の決定を土壇場まで先送りしたのである。CVEデータベースは欠陥の迅速な検知と修正の要であり続けているため、これにより世界中の最高情報セキュリティ責任者(CISO)の間で大きな不安が生じた。
GCVEは自律的な欧州の取り組みとして構想された一方で、専門家は、脅威の識別と評価における混乱を避けるため、米国システムとの互換性を維持する必要性を強調している。さらにGCVEは、オフライン分析目的の一括データ抽出をすでに可能にしており、統一されたプロトコルと運用を通じて国際標準への準拠を確保している。その結果、この新プラットフォームは脅威監視能力を拡張し、単一ソースへの依存によるリスクを低減する。GCVEは既存の米国データベースに取って代わるものではないが、海外システムにおける政治的または財政的な混乱が生じた場合に備え、欧州にとって戦略的に重要な冗長性を提供する。
翻訳元: https://meterpreter.org/europes-digital-fortress-the-new-gcve-system-ends-reliance-on-u-s-databases/
