CVE停止の危機とNVDの停滞、セキュリティ担当者が直面する脆弱性情報分断の裏側

　PwC Japanグループは5月19日、攻撃者に有利な環境が広がるなか、企業は何を守り、どう備えるべきかの解説記事を発表した。

　同記事は、2025年10月21日に開催された「GZERO Summit Japan 2025」のサイドイベントとして開催した「CESO ラウンドテーブル（特別回）」でPwCコンサルティング合同会社 パートナーの村上純一氏が行った講演「デジタル世界の分断と企業の対応：サイバーセキュリティを例に」の内容をもとに再構成している。

　同記事では、企業の関心がサイバー攻撃そのものから、国家間の対立や政策の不確実性へと移るなか、その影響がサイバーセキュリティの現場にも及んでいるとし、こうした地政学的な潮流が、セキュリティ業界にどのような変化をもたらしているのか、特に注目すべき4つの構造的な変化を取り上げている。

1.デジタル法規制の急増
　近年、各国でデジタル関連の法整備が一気に進み、日本企業が対応すべき法令やガイドラインは、わずか5年で約30から300超へと10倍以上に増加している。特に、AI、サイバーセキュリティ、IoT、プライバシーといった領域での制度化が進んでいる。

2.サイバーインフラの分断
　これまでは、ソフトウェアに脆弱性が見つかると、その情報が米国の国立標準技術研究所（NIST）に集約され、NVD（National Vulnerability Database）として公開され、世界中の政府機関や企業、セキュリティベンダーは、このデータベースを参照しながら対策を講じてきたが、2024年2月にNVDの更新が滞り始め、2025年4月には基盤となる「脆弱性識別プログラム（CVE）」そのものが停止の危機に直面。

　この危機を契機に、米国ではCVEファンデーションという基金の設立が進み、EUは独自のEUVD（欧州脆弱性データベース）の構築を開始、中国は2009年から独自運営を進めCNNVD（中国国家脆弱性データベース）を整備しているなど、これまで世界が持っていた脆弱性情報を共有する統一的な仕組みが分断。

3.国際連携の難しさ
　国境を越えるサイバー攻撃や情報窃取には、国際的な法制度と協力体制が欠かせず、国連では長年議論が続いていたが、2021年には下記の通りようやく一定の合意が形成されている。

(1)各国は、国連憲章の原則をサイバー空間でも尊重すること。
(2)相互信頼のため、情報共有とインシデント報告を行うこと。
(3)サイバー犯罪や越境データ問題に対して、国際協力を強化すること。
(4)国家によるサイバー活動では、他国の主権と国内管轄権を尊重すること。

　(4)に関しては「主権と国内管轄権の尊重」という表現が、権威主義国家が主張する「サイバー主権」の根拠として使われ、「国家の内部問題」として国際捜査協力を拒むことが可能となったとしている。

4.国家間でのサイバー戦の進行
　保護主義や権威主義が進行すると「サイバー活動によって、失われたものを取り戻そうとする誘惑」が生じる。