欧州 ENISA 共通脆弱性開示（CVE）プログラムのルート機関になった (2025.11.20)

こんにちは、丸山満彦です。

ENISAがルートCVE機関になったと公表していますね...

 

● ENISA

・2025.11.20 Stepping up our role in Vulnerability Management: ENISA Becomes CVE Root

 

Stepping up our role in Vulnerability Management: ENISA Becomes CVE Root	脆弱性管理における役割の強化：ENISAがCVEルート機関に
The European Union Agency for Cybersecurity (ENISA) is now a Common Vulnerabilities and Exposures (CVE) Program-Root, thus becoming a central point of contact within the CVE program for national/EU authorities, EU CSIRTs network members, and cooperative partners falling under ENISA’s mandate.	欧州連合サイバーセキュリティ機関（ENISA）は、共通脆弱性開示（CVE）プログラムのルート機関となった。これにより、ENISAの管轄下にある各国／EU当局、EU CSIRTネットワーク加盟機関、協力パートナーにとって、CVEプログラムにおける中心的な窓口となる。
As a Common Vulnerability and Exposure (CVE) Numbering Authority (CNA), ENISA is authorised to assign CVE Identifiers (CVE IDs) and to publish CVE Records for vulnerabilities discovered by or reported to EU CSIRTs, in line with their dedicated coordinator roles since January 2024. As Root CNA, ENISA is now expanding its role within the CVE program.	共通脆弱性開示（CVE）番号付与機関（CNA）として、ENISAは2024年1月以降、EU CSIRTが発見または報告した脆弱性に対し、CVE識別子（CVE ID）を付与しCVEレコードを公開する認可を有する。ルートCNAとして、ENISAはCVEプログラム内での役割を拡大している。
The European Union Agency for Cybersecurity Executive Director, Juhan Lepassaar, declared: “By becoming a Root, ENISA moves a step further to improve the development and capacity of the Agency to support vulnerability management in the EU. With the new responsibilities, ENISA extends its support to the CSIRTs network and to all its partners to further enhance the EU's ability to manage and coordinate cybersecurity vulnerabilities, and improve digital security across the Union.”	欧州連合サイバーセキュリティ機関のユハン・レパサー事務局長は次のように述べた。「ルートCNAとなることで、ENISAはEUにおける脆弱性管理を支援する機関としての発展と能力向上に一歩前進する。新たな責任により、ENISAはCSIRTネットワーク及び全てのパートナーへの支援を拡大し、EUのサイバーセキュリティ脆弱性管理・調整能力をさらに強化し、連合全体のデジタルセキュリティを向上させる。」
ENISA’s new role is part of the European Union investment in strengthening vulnerability coordination and management in the EU. As such, this new role complements and supports the Coordinated Vulnerability Disclosure activities engaged by EU Member States and in particular the establishment and operation of the EU Vulnerability Database, as well as ENISA’s new tasks under the Cyber Resilience Act in relation to the provision of guidance to manufacturers on compliance, assistance with the implementation of the new cybersecurity framework, and the implementation of the Single Reporting Platform.	ENISAの新たな役割は、EUにおける脆弱性調整・管理の強化に向けた欧州連合の投資の一環である。したがって、この新たな役割は、EU加盟国が取り組む脆弱性開示の調整活動、特にEU脆弱性データベースの設立・運営を補完・支援するものである。同時に、サイバーレジリエンス法に基づくENISAの新たな任務、すなわち製造事業者へのコンプライアンス指導の提供、新たなサイバーセキュリティ枠組みの実施支援、単一報告プラットフォームの導入も包含する。
Together, these responsibilities strengthen Europe’s ability to ensure consistent and timely vulnerability handling across borders.	これらの責任を総合することで、欧州は国境を越えた一貫性のあるタイムリーな脆弱性対応能力を強化する。
The purpose of the CVE Program	CVEプログラムの目的
The Common Vulnerabilities and Exposures Program (or CVE Program) was created in 1999 and since then, is being used worldwide. CVE provides a scheme to identify, define, and catalog publicly disclosed vulnerabilities with contextual information in order to create a standardised listing of such vulnerabilities. Vulnerabilities are assigned a CVE ID and their corresponding CVE Records are published by organisations from around the world that have partnered with the CVE Program. In this way, the information of the CVE Program will further enable organisations, developers, and cybersecurity professionals to quickly identify, discuss, share information about them, and address security flaws, thereby providing a base for improving the security of software and systems.	共通脆弱性開示プログラム（CVEプログラム）は1999年に創設され、以来世界中で利用されている。CVEは、公開された脆弱性を文脈情報と共に識別・定義・分類する仕組みを提供し、標準化された脆弱性リストを作成する。脆弱性にはCVE IDが割り当てられ、対応するCVEレコードはCVEプログラムと提携する世界中の組織によって公開される。これにより、CVEプログラムの情報は組織、開発者、サイバーセキュリティ専門家が脆弱性を迅速に識別・議論・情報共有し、セキュリティ上の欠陥に対処することをさらに可能にし、ソフトウェアとシステムのセキュリティ向上基盤を提供する。
The role of ENISA within the CVE Program	CVEプログラムにおけるENISAの役割
Becoming a Root means ENISA is expanding its role in the CVE Program by taking on additional responsibilities including the identification, onboarding, and support to other CNAs within its scope. Additionally, Roots ensure that CVE Program guidelines and processes are followed and that procedures, guidelines, and standards for assigning and managing CVE IDs are further developed.	ルートとなることは、ENISAがCVEプログラムにおける役割を拡大し、管轄範囲内の他のCNAの特定、受け入れ、支援といった追加責任を担うことを意味する。さらにルートは、CVEプログラムのガイドラインとプロセスが遵守され、CVE IDの割り当てと管理に関する手順、ガイドライン、標準がさらに発展することを保証する。
By maintaining its registry service, ENISA further supports the EU CSIRTs in their coordination work, acting as a CNA for vulnerabilities in IT products discovered by European Union Computer Security Incident Response Teams (CSIRTs) or reported to EU CSIRTs for coordinated disclosure. ENISA will also be a central contact point for cooperative partners that fall under ENISA’s mandate.	登録サービスを維持することで、ENISAはEUのCSIRT（コンピュータセキュリティ・インシデント対応チーム）の調整業務をさらに支援する。具体的には、EUのCSIRTが発見した、あるいは調整開示のためにEUのCSIRTに報告されたIT製品の脆弱性について、CNA（認定通知機関）として機能する。ENISAはまた、ENISAの管轄下にある協力パートナーの中央連絡窓口となる。
ENISA joins the CVE Program Council of Roots	ENISAはCVEプログラムのルート機関としてCVEプログラム評議会に参加する
As a Root, ENISA will join the CVE Program Council of Roots, which focuses on operational coordination across the CVE Program’s Root hierarchies. At international level, CVE Program Roots include MITRE, CISA, Google, Red Hat from the US, and JPCERT/CC from Japan. Within the EU, they are: INCIBE Cert, the Thales Group and, most recently, CERT@VDE.	ルート機関として、ENISAはCVEプログラムのルート階層間における運用調整を主眼とするCVEプログラム評議会に参加する。国際レベルでは、CVEプログラムのルート機関には米国のMITRE、CISA、Google、Red Hat、日本のJPCERT/CCが含まれる。EU域内では、INCIBE Cert、タレスグループ、そして最近加わったCERT@VDEが該当する。
Next steps in the change process for organisations concerned	関係組織における変更プロセスの次なる段階
ENISA’s Root scope will include organisations falling under its mandate. For existing CNAs who are eligible and interested in moving under ENISA’s Root, the CVE Program encourages a collaborative and voluntary transition. The CVE Program will closely engage with each organisation to ensure a smooth transition process. A transition period is foreseen for those CNAs who intend to change Root. The phased approach by ENISA will allow for thoughtful coordination, ongoing support, and alignment with the preferences and operational needs of each CNA.	ENISAのルート管轄範囲には、その権限下にある組織が含まれる。既存のCNA（CNA）で、ENISAのルート下への移行が適格かつ関心のある組織に対し、CVEプログラムは協力的かつ自発的な移行を推奨する。CVEプログラムは各組織と緊密に連携し、円滑な移行プロセスを確保する。ルート変更を予定するCNA向けに移行期間を設ける。ENISAの段階的アプローチにより、慎重な調整、継続的な支援、各CNAの意向や運用上のニーズとの整合性が図られる。
ENISA’s efforts towards improved vulnerability management	脆弱性管理の改善に向けたENISAの取り組み
ENISA becoming a CVE Program Root in addition to its CNA responsibilities marks a meaningful expansion of its role in coordinated vulnerability management, reinforcing its capacity to identify, triage, and help remediate security flaws at scale. By harmonising CVE practices, elevating the quality and timeliness of CVE Records, and supporting a smooth, voluntary transition for eligible CNAs, ENISA will help reduce fragmentation, strengthen cross-border coordination, and accelerate responsible disclosure.	ENISAがCNAとしての責務に加えCVEプログラムのルートとなることは、脆弱性管理における役割の重要な拡大を示す。これにより、セキュリティ上の欠陥を大規模に識別・優先順位付けし、修正を支援する能力が強化される。CVEの実践を調和させ、CVEレコードの品質と適時性を高め、適格なCNAの円滑かつ自発的な移行を支援することで、ENISAは分断の解消、国境を越えた連携の強化、責任ある開示の促進に貢献する。
Working alongside the global community of Roots, ENISA will foster greater transparency, trust, and operational consistency for CSIRTs, industry, and public authorities alike. These responsibilities underscore ENISA’s commitment to a secure, resilient, and innovative digital ecosystem for EU citizens, businesses, and public administrations.	ENISAは、世界中のルート機関と連携し、CSIRT、産業界、公共機関のすべてに対して、透明性、信頼性、運用の一貫性を高める。これらの責任は、EUの市民、企業、公共機関のための安全でレジリエンスがあり革新的なデジタルエコシステムに対するENISAの取り組みを強調するものである。
The work of ENISA on vulnerability disclosure and handling also includes:	脆弱性開示・対応に関するENISAの活動には以下も含まれる：
The European Vulnerability Database - EUVD.	欧州脆弱性データベース（EUVD）
The European Union Agency for Cybersecurity (ENISA) has developed the European Vulnerability Database - EUVD as provided for by the NIS2 Directive. The now operational EUVD service is maintained by ENISA.	欧州連合サイバーセキュリティ機関（ENISA）は、NIS2指令に基づき欧州脆弱性データベース（EUVD）を開発した。現在稼働中のEUVDサービスはENISAが維持管理している。
The Cyber Resilience Act’s Single Reporting Platform - SRP	サイバーレジリエンス法に基づく単一報告プラットフォーム（SRP）
ENISA aims to build trust in secure digital solutions and is developing the Single Reporting Platform (SRP). Provided for by the Cyber Resilience Act (CRA), the objective of the platform will be to notify actively exploited vulnerabilities. Such notification will become mandatory for manufacturers by September 2026 and is expected to increase product security.	ENISAは安全なデジタルソリューションへの信頼構築を目指し、単一報告プラットフォーム（SRP）を開発中である。サイバーレジリエンス法（CRA）で規定されたこのプラットフォームの目的は、実際に悪用されている脆弱性を通知することである。この通知は2026年9月までに製造事業者にとって義務化され、製品セキュリティの向上に寄与すると期待されている。
Coordinated Vulnerability Disclosure – CVD	調整された脆弱性開示（CVD）
As the secretariat of the EU CSIRTs network, ENISA supports CSIRTs designated as coordinators to cooperate within the network, in case a reported vulnerability is assessed to have a potentially significant impact on entities in more than one Member State. ENISA regularly publishes guidelines and studies to assist Member States in establishing CVD policies.	EU CSIRTネットワークの事務局として、ENISAは、報告された脆弱性が複数の加盟国の事業体に重大な影響を及ぼす可能性があると評価された場合に、ネットワーク内で協力するよう指定された調整役CSIRTを支援する。ENISAは加盟国がCVD政策を確立するのを支援するため、定期的にガイドラインや研究を公表している。
About ENISA	ENISAについて
ENISA is the European Union Agency for Cybersecurity. As such ENISA is dedicated to achieving a high common level of cybersecurity across Europe. Established in 2004, it was strengthened by the EU Cybersecurity Act.	ENISAは欧州連合サイバーセキュリティ庁である。欧州全域で高い共通レベルのサイバーセキュリティ達成に専念している。2004年に設立され、EUサイバーセキュリティ法により強化された。
ENISA contributes to EU cyber policy, enhances the trustworthiness of ICT products, services and processes with cybersecurity certification schemes.	ENISAはEUサイバー政策に貢献し、サイバーセキュリティ認証スキームを通じてICT製品・サービス・プロセスの信頼性を高める。
The Agency also cooperates with EU Member States and EU bodies, to help Europe prepare for the cyber challenges of tomorrow. Through knowledge sharing, capacity building and awareness raising, the Agency works together with its key stakeholders to strengthen trust in the connected economy, to boost resilience of the Union’s infrastructure, and, ultimately, to keep Europe's society and citizens digitally secure.	また、欧州が将来のサイバー課題に備えられるよう、加盟国やEU団体と協力する。知識共有、能力構築、意識啓発を通じ、主要ステークホルダーと連携して、接続経済への信頼強化、EUインフラのレジリエンス向上、そして欧州社会と市民のデジタルセキュリティ確保に取り組んでいる。
Further Information	詳細
Vulnerability Disclosure — ENISA (europa.eu)	脆弱性開示 — ENISA (europa.eu)
Consult the European Vulnerability Database to enhance your digital security!	欧州脆弱性データベースを参照し、デジタルセキュリティを強化せよ！
Another step forward towards responsible vulnerability disclosure in Europe	欧州における責任ある脆弱性開示に向けた新たな一歩
ENISA Added as CNA | CVE News Item	ENISAがCNAとして追加 | CVEニュース項目
EU Vulnerability Database	EU脆弱性データベース

 

 

---

 

MITERのCVE.orgをみるとRootになっていますね...

 

● CVE.org (MITRE)

・List of Partners

Root...

CVE	区分	組織	国
CERT@VDE	Root, CNA	CERT	Germany
Cybersecurity and Infrastructure Security Agency (CISA)	Top-Level Root, ADP	N/A	USA
Cybersecurity and Infrastructure Security Agency (CISA) Industrial Control Systems (ICS)	Root, CNA-LR	CERT	USA
EU Agency for Cybersecurity (ENISA)	Root, CNA	Consortium	Greece
Google LLC	Root, CNA	Vendor, Open Source, Researcher	USA
JPCERT/CC	Root, CNA	CERT	Japan
MITRE Corporation	Top-Level Root, CNA-LR, Secretariat	N/A	USA
Red Hat, Inc.	Root, CNA-LR, CNA	Vendor, Open Source	USA
Spanish National Cybersecurity Institute, S.A. (INCIBE)	Root, CNA	CERT	Spain
Thales Group	Root, CNA	Vendor, Researcher	France

 

 

 

---

中国もCVE機関がありますね...

● CNVD (China National Vulnerability Database)