概要
中国は、ソフトウェアとハードウェアの欠陥をカタログ化するための二つの全国的な脆弱性データベース、CNVDおよびCNNVDを運営しています。これらのシステムは、米国のCVEやNVDなどの西側の標準とは異なる独自のID、スキーマ、分類を使用します。
中国の並行CVEシステム
CNNVDとCNVDは、それぞれ国家安全局(MSS)および国家インターネットセキュリティ緊急対応センター(CNCERT)によって運営されています。両方のデータベースにはCVEフィールドが含まれていますが、相互に参照することは稀で、これが防御者のための相関と自動化作業を複雑にしています。
規制
中国は「ネットワーク製品セキュリティ脆弱性管理規定」を通じて、脆弱性の報告、迅速なパッチ適用、ログ保持を強制し、公開条件も設けています。これらの規定により、研究者主導の開示規範とは対照的に、中国政府との調整が要求されます。
データベースの比較
CNNVDはCVEとNVDよりも多くのエントリを含んでおり、一方CNVDはより少ないカバレッジを持っています。両方ともXML形式でデータを提供しますが、品質問題や解析の難しさがあります。
2026年の展望
2021年に施行された中国の規制により、公開される情報とタイミングに影響が出ています。しかし、CVEとNVDよりも透明性や機械可読性が低い点も指摘されています。
結論
防御者と分析者は、CNNVDおよびCNVDのような外国の全国データベースから得られる地域特有の情報を見逃さないようにする必要があります。また、異なるフィードを統合し、その特性を正常化してギャップを理解することが重要です。