CVEと何が違う？ 無償で利用できる新時代の脆弱性共有モデルが登場：セキュリティニュースアラート

GCVE initiativeは、公開型の脆弱性助言データベース「db.gcve.eu」の提供を開始した。CVEに強く依存する体制の緩和を目的としている。25以上の公開情報を集約し、識別子を整理した検索可能な情報基盤を整備するという。

[ITmedia エンタープライズ編集部]

　GCVE initiativeは2026年1月7日（現地時間）、新たな公開脆弱（ぜいじゃく）性助言データベース「db.gcve.eu」の公開を発表した。

　この基盤は誰でも無償で利用でき、世界中で公開されている脆弱性情報を統合的に参照できる場を提供する。米国の脆弱性情報データベース（CVE）に強く依存する体制の緩和や、セキュリティ対応に携わる組織や研究者が情報を見失わずに全体像を把握しやすくする狙いがある。

CVEと何が違う？　無償で利用できる新時代の脆弱性共有モデル

　db.gcve.euは25以上の公開情報源から脆弱性助言を収集し、識別子や内容を整理した形で提示する。GCVEに基づく番号付与主体が発行する情報も自然に取り込まれており、検索や分析に適した構造化データとして扱える点が特徴だ。分散して存在していた情報を俯瞰でき、状況理解の負担軽減につながる。

　基盤技術には、オープンソースの「vulnerability-lookup」が採用されている。この仕組みはGCVEが定めた実務上の指針を実装し、収集や同期、公開の過程を透明性の高い形で実現する。分散公開という思想を保ったまま、効率的な集約と関連付けを可能にする設計となっている。

　利用形態としては閲覧用のWeb画面、機械連携用のAPI、まとめて取得できるデータ提供が用意されている。取得した情報は分析ツールや運用業務に組み込め、研究用途や日常的な監視作業でも活用しやすい。再利用を前提とした公開姿勢が明確に示されている。

　この取り組みは、単一の管理点に依存しない脆弱性公開の枠組みを現実の形にする試みだ。番号付与主体や情報発信者が独立性を保ちつつ、全体では相互に結び付いた環境を形成する。結果として、障害耐性の向上や新しい手法の創出が期待されている。

　GCVEは共同体主導の活動として、分散型の識別子付与と情報公開の仕組みを構築してきた。同プロジェクトは欧州連合（EU）関連機関とCIRCLの支援を受け、ルクセンブルク国内の施設で運用されている。欧州管理下での運営体制により、信頼性と自律性の確保を重視した情報共有基盤となっている。

　世界のサイバーセキュリティにおいて、米国MITREが運営するCVEは必須の存在となっている。しかし2025年4月、MITREから資金が切れるという状況が発表され、CVEの継続的な運用に影響が出る可能性が示された。最終的にこの動きは契約実の問題であり、CVEの存在そのものが失われるようなものではなかったが、世界中の関連組織が米国のCVEに依存する構造のもろさを実感する事態となった。

　db.gcve.euはこうした米国依存構造を緩和するための試みとして欧州で取り組まれているものだ。これまで脆弱性情報データベースで指摘されてきた問題点などを解消するための分散的な仕組みが実現されており、今後業界においてどのように活用されるかが注目される。