2025年8月8日

NEC　サイバーセキュリティ技術統括部　セキュリティ技術センターの宇井です。

今回はENISAが提供する脆弱性データベースEUVDについての紹介をします。

目次

ENISAとEUVDについて

近年、EUではサイバー攻撃の高度化・巧妙化を受けて、サイバーセキュリティに関する規制強化が進められています。こうした動きの中心となっているのがENISA（European Network and Information Security Agency）です。ENISAは、EU全体のサイバーセキュリティ政策や標準の策定、加盟国への支援など、幅広い役割を担う専門機関です。

こうした背景から、EUではNIS指令（Network and Information Security Directive）や、その改訂版であるNIS2指令、さらにCRA法案（Cyber Resilience Act）といったサイバーセキュリティ関連の新たな法規制が導入されています。これにより、重要インフラ事業者や多くの企業に対し、脆弱性管理や情報共有の実施が法的要件として求められるようになりました。
こうした状況を踏まえ、ENISAはEU内の法規制および利用者ニーズに適した公式脆弱性データベースとして、2025年5月にEUVD （European Union Vulnerability Database）[1]をリリースしました。さまざまな関係者やEU加盟国のCSIRTやCERT-EUに活用されています。[2]

EUVDの特徴

EUVDは、EU域内におけるサイバーセキュリティの強化を目的として、さまざまな情報源から脆弱性を集約し、独自の分析や多様な機能を提供する脆弱性データベースです。本章では、EUVDがどのような情報源をもとに脆弱性を収集・管理しているかに加え、独自のID付与やEPSSとの連携、ユーザーの利便性を高めるダッシュボードやAPI機能など、EUVDの主な特徴についてみていきます。

EUVDの情報源

EUVDの情報源が何かということについて、EUVDのFAQには以下のように記載されています。[3]
“Contrary to other vulnerability databases, the EUVD comes with a holistic approach and aims for ensuring a high level of interconnection of information sources. It does so by leveraging the open-source software Vulnerability-Lookup which enables a quick correlation of vulnerabilities from multiple known sources.”

他の脆弱性データベースとは異なり、EUVDは包括的なアプローチを採用しており、情報源同士の深い相互接続性を確保することを目指しています。そのため、オープンソースソフトウェアであるVulnerability-Lookupを活用し、複数の既知の情報源からの脆弱性情報を素早く関連付けることを可能としています。（筆者訳）

EUVDはVulnerability-Lookupというオープンソースソフトウェアを活用することで、複数の情報源から効率的に情報を収集していることがわかります。[4]
さらにGitHub上でVulnerability-Lookupの Sources and Feeders を確認すると、以下の通り複数の情報源から情報を収集していることがわかります。

独自のIDを付与

EUVDでは、各脆弱性情報に対してEUVD独自のEUVD IDが付与されます。これは、CVEやその他の脆弱性データベースが個別のIDを利用している現状に対応し、EUVD内で一意に脆弱性を参照・管理できるようにするためです。脆弱性情報ごとに可能な限り CVE ID や他の脆弱性 ID も併記し、データベース間のクロスリファレンスを容易にしています。これにより、EUVD 独自の分析内容や付加情報の一元管理・検索、および他 データベース との情報照合が可能となっています。

EPSSを提供

EUVDの脆弱性詳細ページでは、EPSS（Exploit Prediction Scoring System）の情報もあわせて提供している点が特徴です。EPSSは、FIRST（Forum of Incident Response and Security Teams）が提供している「各脆弱性が今後30日以内に悪用される確率」を示す指標[5]であり、EUVDはこのEPSSスコアを集約して掲載することで、利用者がリスクの評価や優先順位付けをより効果的に行えるよう支援しています。

3種類のダッシュボード

EUVDのホーム画面では次の3種類のダッシュボードが用意されています。
これらのダッシュボードを活用することで、利用者はさまざまな観点からリスクを把握し、的確な対応や組織のセキュリティ対策計画を立てることができます。

APIを提供

EUVDが提供しているAPIの機能を大きく3種類に分類して説明します。

EUVDと他脆弱性情報源との比較

この章では以下の2つについて考察してみます。

1つ目は NVD（National Vulnerability Database）[6]であり、2つ目は KEVカタログ（Known Exploited Vulnerabilities Catalog）[7]です。EUVDは情報源としてこれら2つも収集対象に含められているようです。ここでは実際にどの程度差分があるのかを把握するために、EUVDと他の主要な脆弱性情報源であるNVDおよびKEVカタログとの比較を行ってみます。EUVDとそれぞれの情報源が提供する情報との差分について筆者が調査した結果を記載します。本結果は2025/07/23時点のものです。

（1）EUVDとNVDの脆弱性数の比較
【脆弱性総数の比較】
まず初めに、各データベースに登録されている脆弱性総数を比較してみます。
各データベースのUI上で確認したところ、EUVDの総数は272,855件（27,285ページ×10件＋5件）、NVDの総数は287,267件であり、EUVDの方が14,412件少ない結果となりました。
EUVDの情報源としてNVDがありますが、少なくともNVDのすべての脆弱性を取得しているわけではないことがわかります。

【1週間分の脆弱性数の比較】
次に2025/07/13~2025/7/19の期間に区切ってEUVDとNVDから取得した脆弱性の差分を詳しく見ていきます。
各データベースで提供されているAPIを利用して情報を取得します。

表1：EUVDから期間を指定して脆弱性を取得するクエリ

表2：NVDから期間を指定して脆弱性を取得するクエリ

EUVDの取得結果は716件、NVDでは772件であり、EUVDの方が56件少ない結果となりました。EUVDのAPIで取得できなかった脆弱性をNVD上で確認するとステータスがREJECTED（取り消されたもの）もしくはAWATING ANALYSIS（分析中のもの）となっています。

（2）EUVDとKEVカタログの悪用実績の比較
ここではEUVDで悪用実績ありと判断されている脆弱性とKEVカタログに掲載されている脆弱性を比較します。
EUVDはAPIから取得、KEVカタログはWEBから取得します。

表3：EUVDで悪用実績ありと判断されている脆弱性を取得したクエリ

EUVDの取得結果は1,314件、KEVカタログでは1,388件の脆弱性を取得することができました。このうちEUVDでのみ取得できた脆弱性は1件、KEVカタログでのみ取得できた脆弱性は75件ありました。

まず、EUVDでのみ取得できた脆弱性についてみてみます。
このような脆弱性は1件（CVE-2025-4664）あり、その脆弱性をEUVDの上で確認したところ、2025/05/15にKEVカタログに追加されたという記載を確認できました。なお2025/07/23に取得したKEVカタログからはCVE-2025-4664は削除されていました。

次に、KEVカタログでのみ取得できた脆弱性についてみてみます。
このような脆弱性は75件ありました。そのうち1件をEUVDのUI上で確認してみました。EUVDのAPIでは悪用実績ありの脆弱性として取得できなかったものの、UI上ではKEVカタログに掲載された情報だということがわかります。ただしCVSSなどの値は欠落していました。

まとめ

本記事では、ENISAが提供するEUVDについて、その概要や特徴、NVDやKEVカタログとの比較を紹介しました。
EUVDは様々な国内外の情報源から脆弱性を収集し、独自のIDやEPSSの提供、3種類ダッシュボードやAPIなど、利用者の視点を意識した機能が特徴です。一方で、NVDやKEVカタログと全く同じ情報がすべて登録されているわけではなく、差異があることも確認できました。
今後もEUVDの機能向上や脆弱性情報の網羅性などに注目し、他の脆弱性データベースとの比較を続けていきたいと思います。

参考文献

執筆者の他の記事を読む