はじめに

EUVD (European Vulnerability Database) とは、ENISA (欧州ネットワーク・情報セキュリティ機関)に よって開発が進められた欧州脆弱性データベースです。 このエントリでは EUVD が発足された設立目的や EUVD の特徴・利点および EUVD を運用に用いたときの懸念点についてご紹介します。

設立目的と注目された背景

欧州では、サイバーセキュリティ水準を底上げし、重大なインシデントリスクに備えることを目的として、NIS1 指令（2016年）が発令されました。しかしその後、サイバー攻撃はサプライチェーン全体や中小企業にも広がり、従来の枠組みだけでは対応しきれなくなりました。この状況を受け、欧州連合（EU）は、より広範囲で強制力のある NIS2 指令 (2022年) を制定しました (NIS1, NIS2 について)。これにより、脆弱性管理や脆弱性情報の共有が企業に対して法的義務として課されることになりました。この NIS2 指令を実現するための基盤として、ENISA は EUVD（European Vulnerability Database）の設立を決定しました。 EU加盟国や企業が、脆弱性情報を効率的に共有・参照できる共通プラットフォームを目指し、開発を進めてきたことに加え、アメリカ合衆国・国土安全保障省の MITRE 社との契約終了騒動とその影響により CVE データベースへの依存リスクが顕在化しました ((詳しくは次の記事をご確認ください)。

この事態を受け、ENISA は 2025年4月16日 に EUVD を緊急的に本格稼働させ、欧州独自の脆弱性情報インフラを確立する動きに踏み切りました。その後も開発は継続され、ついに 2025年5月13日、ENISA は EUVD の正式リリースを発表しました。

CVE と EUVD の関係 - 補完的で競合ではない

EUVD（European Vulnerability Database）は、米国CVEデータベースへの依存リスクを減らし、欧州市場に特化した脆弱性管理を実現することを目指すプラットフォームであると同時に、ENISAは、EUVDがCVEと競合するものではなく、補完する立場であることを明確に表明しています。その方針に基づき、EUVD は CVE データを基盤にしつつ、相互参照・補完モデルとして設計されています。

構成要素と特徴

EUVD はどのような情報や機能で構成されているのでしょうか。

3 種類に分類された EUVD Critical Vulnerabilities ダッシュボード

EUVDでは、ユーザーが重要度や状況に応じた脆弱性情報へ迅速にアクセスできるよう、以下の3つの観点から分類したダッシュボードを提供しています。

• Critical vulnerabilities
  

  CVSSスコア 9 以上でフィルタリングされた脆弱性情報です。
  

• Exploited vulnerabilities
  

  実際に悪用された報告がある脆弱性情報です。
  CISA の KEV（Known Exploited Vulnerabilities）リストや欧州内インシデント報告を元に、悪用状況を反映しています。
  

• EU CSIRT coordinated vulnerabilities
  

  EU 域内の CSIRT（Computer Security Incident Response Teams）が調整した脆弱性情報です。
  

EUVD 識別子（EUVD-ID）の付与

EUVD は 脆弱性ごとに独自の識別子 EUVD-ID を次のように付与しています。

一方で EUVD は、世界標準である CVE-ID を引き続き活用しており、CVE-ID が既に存在する脆弱性については、EUVD-ID の Alternative IDs に CVE-ID が記載されます。(CVE-ID が無い場合でも EUVD-ID が付与されているものもあります。)

EUVD-ID と CVE-ID 二つの識別子を用いることで、

• CVEとのリンク（クロスリファレンス）
  
• ベンダーアドバイザリやCSIRT情報とのひも付け
  
• 欧州域内での迅速な情報共有
  

といったことを可能とし、CVE を否定するものではなく、むしろ補填する設計思想になっています。

データレコードの内容

EUVD に掲載される各脆弱性レコードには、固有の EUVD-ID が割り振られるとともに、以下のような詳細情報が含まれます。 NVD と大きな違いはありません。

• 脆弱性の概要や説明
  
• 影響を受けるICT製品・サービス名（およびバージョン情報）※1
  
• 深刻度（CVSS基本値など）と脆弱性が悪用される恐れのある攻撃方法
  
• 脆弱性情報の登録元（アサイナー）
  
• 外部の関連情報へのリンク（例：ベンダーのセキュリティ勧告、パッチ情報、緩和策ガイダンス）
  
• 既知の悪用状況のフラグ（攻撃に使用されている場合のマーク）
  

(※1：後述で違いを説明します。)

Vulnerability-Lookup の活用

脆弱性情報を実際の運用に活用するためには、「どの製品・バージョンが影響を受けるのか」を正確に特定することが不可欠です。

NVD では CPE 表記ですが、NVD では CPE (Common Platform Enumeration) を採用していますが、EUVDではCPEを採用していません。 その代わり EUVD では Vulnerability-Lookup を活用していおり、CPE の課題であった名揺れの問題を軽減しています。

Vulnerability-Lookup は、CPE のような単純な文字列一致に依存せず、脆弱性に関する説明文や技術情報そのものを自然言語処理で解析し、関連性を照合する仕組みです。 これにより、CPEが抱えていた「製品名の表記ゆれ」や「網羅漏れ」といった課題を、可能な限り解消する工夫がされています。

もっとも、自然言語処理によるマッチングには揺らぎや誤判定のリスクも伴います。
そのため、必ずしも100%の精度で完全に正確な製品マッチングが保証されるわけではない点には注意が必要です。

EUVD の主なデータソース

EUVD はベンダーや CSIRT が公開するアドバイザリや速報を情報源にもしておりますが、主な情報源は CVE プログラムデータベースであると明言しています。

このように CVE/NVD が提供する基本情報に加え、各国当局やベンダーから提供される勧告情報、既知のエクスプロイト情報まで含めたワンストップの包括的な脆弱性情報となっている点が EUVD の特徴です。

セキュリティ担当者が EUVD を用いる懸念点・注意事項

ENISA が運営する EUVD は、米国 CVE/NVD への過剰依存を補完し、欧州市場に特化した脆弱性情報を提供する「非常に優れた脆弱性データベース」です。
特に、CPE の限界（表記ゆれ・網羅性不足）を Vulnerability-Lookup で補完する仕組みは、現場にとっても画期的と言えます。
しかし、セキュリティ担当者が「実務で使う」となると、いくつかの懸念点も併せて考慮する必要があります。

• EUVD は「CVEを置き換える」ものではない
  

  CVE-ID があればそれを前提に扱い、欧州特有の脆弱性情報や CVE 未登録情報を補完する立場ですので、CVE＋EUVD の併用が前提となり、運用フローがシンプルに一本化されるわけではありません。
  

• マッチング精度の限界（100%は期待できない）
  

  前述してはおりますが、Vulnerability-Lookup を用いた CPE の課題である製品名の表記揺れ、カバレッジ不足を補完しますが、自然言語処理ベースのマッチングでは判定や揺らぎのリスクが伴います。
  つまり、鵜呑みにできるデータでは無いため、最終的に人が目視確認するフローが必要となります。
  

• EUVD は EU 圏内の製品・サービスに強い
  

  EUVD は EU 域内の製品・サービスに強いですが、日本市場や国内 IT ベンダー製品、アジア圏の特殊製品はカバー範囲が限定的です。
  

まとめ

EUVD は、既存の CVE/NVD 体制を補完する形で登場した欧州発の脆弱性情報集プラットフォームです。
特徴としては、

• CVE-ID との相互参照を前提に設計
  
• ベンダーアドバイザリや CSIRT 情報を集約し、実態に即した脆弱性管理を支援
  
• 表記ゆれ・網羅性不足など CPE の課題を独自に補完
  
• NIS2 指令に基づく欧州域内サイバーセキュリティ強化を目的とする
  

といったものがあり、EUVD は、今後の発展によってサイバーセキュリティコミュニティ全体のレジリエンス向上に寄与していくことが予測されます。

SIDfm について

SIDfm は NVD、KEV などのメタデータとベンダーのアドバイザリー情報、JVN などの情報をセキュリティアナリストが専門家視点で読み解きリスク評価し、「独自指標」「日本語の解説」を付加した国内No.1※の脆弱性情報コンテンツデータベースです。

特徴

• 脆弱性の概要をわかりやすく日本語でまとめている
  
• 脆弱性情報取り扱い対象製品は、データベース化されいるため、資産情報と脆弱性と影響を受ける製品の突合が可能
  
• 影響を受ける製品やバージョンごとに対処方法を記載
  
• 日本国内のベンダーにも対応
  

※脆弱性情報提供実績No.1／脆弱性オリジナルコンテンツ数No.1
日本マーケティングリサーチ機構調べ　調査概要：2021年8月期_実態調査

更新履歴

• 2025年5月16日
  
  • 新規公開

参照

1. "Consult the European Vulnerability Database to enhance your digital security!," European Union Agency for Cybersecurity, May 13,2025
2. "After the impending CVE blackout: EU vulnerability database goes live," heise medien, (確認日:2025/05/15)
3. "FAQ," European Union Agency for Cybersecurity, (確認日:2025/05/15)
4. "NIS2 Directive: new rules on cybersecurity of network and information systems," European Commission, 7 May 2025
5. "アメリカ合衆国・国土安全保障省の MITRE 社との契約終了騒動とその影響," サイバーセキュリティクラウド, 2025.04.18
6. "Vulnerability-Lookup," Vulnerability-Lookup, (確認日:2025/05/15)