2025 年 4 月の CVE プログラム停止危機と、2024 年 2 月から続く NVD の更新停滞は、ぎりぎりのところで暫定救済された。だがこの一連の混乱を経て、世界の脆弱性情報は「米国 NVD 一極集中」から 米国 / EU / 中国の三極構造 へと音もなく組み替わりつつある。GZERO Summit Japan 2025 で PwC コンサルティングの村上純一氏が示した整理は、脆弱性管理の現場がすでに変質し始めていることを浮かび上がらせた。
何が「三分裂」しているのか #
EU は EUVD(European Vulnerability Database)を独自構築し、中国は 2009 年から運用する CNNVD を強化している。米国側は CVE Foundation を別建てで立ち上げ、NIST 一本足からの脱却を模索する。表面的には冗長化に見えるが、SOC や PSIRT の視点ではむしろ悪夢に近い。
同じ CVE-ID に対し、米国・EU・中国で公開タイミング・CVSS・回避策が食い違う。これまで「NVD に出るのを待つ」で済んでいた運用は、3 系統を突き合わせる手間に置き換わる。社内 SBOM スキャナや WAF ルール側も「どの DB を真とするか」を選ばされる時代に入った。
セキュリティ屋がいま考えるべきこと #
中国側に先に出て NVD に出ていない CVE を狙えば、世界の大半の脆弱性管理ツールはそれを「未知」として扱う窓ができる。三極化は、その窓を恒常的に発生させる構造そのものだ。
実務上の打ち手は二つしかない。(1) vuln intel の NVD 単独依存を外す — VulnCheck、OSV、ベンダー直 PSIRT advisory への複線化を真面目に検討する時期に入った。(2) 規制対応の自動化 — 30 → 300 倍に膨れた法規制への対応を、人月で耐えるのは無理筋になっている。CVE / NVD 分断は単なる「情報源の話」ではなく、サイバー主権時代の脆弱性管理コストが構造的に跳ね上がるという宣告に近い。
COMMENTS 0
No comments yet — be the first to leave one.