欧州発の脆弱性識別システム「GCVE」がデータベースを公開

佐々山 Tacos

2026.01.21

欧州発の脆弱性識別システム「GCVE」がデータベースを公開、米国依存からの脱却目指す

HackRead – January 20, 2026

「分散型」のアプローチを特徴とするヨーロッパ発の脆弱性イニシアチブ「GCVE」のデータベースが正式に始動。EUの資金提供を受けるこのGCVEプロジェクトは、脆弱性の追跡において課題となっている米国への過度な依存を打ち破ることを目指しているという。

世界は長らく、脆弱性の採番・追跡において米国を拠点とするプロジェクト（CVE）に依存してきた。しかし2025年4月、この米国システムが廃止される可能性への懸念が浮上。技術コミュニティに「一時的な動揺」が広がり、単一の情報源への過度な依存はリスクを伴う、という認識が生まれた。

関連記事：MITREがCVEプログラム停止の恐れについて警告、16日に米政府との契約が切れること受け

この課題を解決するにあたってEUは、ヨーロッパが「デジタル主権」を実現して自らのセキュリティデータに対してより強力な管理・制御権限を行使できるよう、GCVE（Global Cybersecurity Vulnerability Enumeration）イニシアチブへの資金提供を実施。CIRCL（ルクセンブルクコンピュータインシデント対応センター）が運営する新たなシステムによって、誰もが無料で使用できる分散型のヨーロッパ版脆弱性識別システムを生み出すことを目指した。

GCVE（db.gcve.eu）がリリースした公開データベースには、CVEのものと同様、コンピューターコードに潜むバグや弱点などのセキュリティ脆弱性が掲載されている。しかしCVEをはじめとする従来の脆弱性システムが「中央集中型」であり、単一のメイン事務局がすべての新規レポートの承認を担う運用をしているのに対し、GCVEは「分散型」のアプローチを採用。もう少し具体的には、GCVEは認定された複数の採番機関（GNA）に対して脆弱性への採番権限を与えるというアプローチであり、これにより各GNAは、新たに報告されたセキュリティ欠陥に対し、メイン事務局の承認を待つことなく速やかにID番号を割り当てることができるようになっているという。

既存のCVEプログラムをめぐっては、NVDにおける脆弱性情報の分析やスコアリングが大量のバックログのため遅延する状況が報じられており、公表済みの脆弱性が公式IDや詳細情報を付与されるまでに時間を要するケースも散見される。こうした処理の遅れやデータの欠損といった問題も、より柔軟で迅速な採番を可能にするGCVEの分散型ID割り当てシステムにより改善されることが期待されている。

GCVEではまた、CVEとの互換性が保持されているほか、既存の25以上のソースから得たデータも使用される。各ソースの情報はすべて標準化され、IT担当者にとって検索がしやすい形へと整理されるという。さらにGCVEはオープンAPIも提供しており、既存のコンプライアンスツールやリスク管理システムへのシームレスな統合が可能となっている。これを活用することで、セキュリティ担当者や科学者、ソフトウェア開発者などはより効率的に新たな脅威の追跡・研究を行えるようになるとされる。

ヨーロッパは、GCVEというCVEなど既存の世界的システムの「バックアップ」を生み出すことで、「ある1つのプログラムが頓挫しても、企業や政府機関のデジタル防衛は揺るがない」という状態を確保しようと試みている。この動きは、サイバー脅威への対処をめぐる世界的な転換点となり得るとのこと。