中央脆弱性データベース (CVDB)

  • リリースバージョン: Australia
  • 更新日 2026年03月28日
  • 所要時間:6分

    • 中央脆弱性データベース (CVDB) (CVDB) は、複数のセキュリティソースからの脆弱性レコードを単一の信頼できるビューに統合して拡張する、ソースに依存しない脆弱性データリポジトリです。CVDBを使用して、脆弱性統合全体で競合するデータを排除し、各フィールドに対して信頼できるソースを完全に可視化します。

    CVDBする前は、統合によって脆弱性レコードのフィールドが直接上書きされるか、プレースホルダーエントリのみが作成されていました。高品質のソースが同じ一般的な脆弱性とエクスポージャー (CVE) について報告した場合、既存のデータがサイレントに上書きされる可能性があります。 CVDB 、これを、各フィールドの最も信頼できるデータを表示すると同時にソースの忠実性を維持する、構成可能な優先度ベースの拡張フレームワークに置き換えます。

    中央脆弱性データベース (CVDB) の仕組み

    CVDB は、 CVDUtil API を介して統合プラグインがフィードする一元的なハブとして機能します。各統合ソースの生データは、専用のソース固有のテーブルに保存されます。統合された CVDB レコードには、各フィールドの最も優先度の高い値が反映され、フィールド更新履歴は、どのソースがすべてのフィールドを最後に更新したかを正確に追跡し、完全なデータ protributance (各フィールド値の取得元の追跡可能なレコード) を提供します。

    CVDB は、複数のソースが同じ脆弱性についてレポートする場合に、2 層の優先度システムを使用して競合を解決します。

    • ソースレベルの優先度:すべてのフィールドのデフォルトの優先順位を決定します。たとえば、デフォルトでは、NVD はスキャナーソースよりも優先されます。
    • フィールドレベルの優先度:特定のフィールドのソースレベルのデフォルトを上書きします。たとえば、[Mandiant] や [Recorded Future] などの脆弱性インテリジェンスフィールドはエクスプロイトステータスに優先されますが、CVSS スコアには NVD が引き続き重要です。

    サポートされているソース

    CVDB は、信頼できる脆弱性データベース、エンタープライズスキャナー、脅威インテリジェンスフィードにまたがる上流ソースの幅広いエコシステムをサポートしています。

    • 信頼できるデータベース:NVD、 EUVDJVN、CISA KEV、EPSS
    • 脆弱性スキャナー: Microsoft Defender Vulnerability ManagementPalo Alto Prisma CloudQualysWiz
    • アプリケーションセキュリティツール: VeracodeGitHub、Black Duck

    脆弱性対応、Container Security、および SBOM Response は、修復ワークフローに強化された CVDB データを活用します。

    CVDB には、CVE を取り込むための優先度構成が含まれています。脆弱性エントリーテーブル (sn_vul_nvd_entry_LIST) で、非 CVE 脆弱性データベースがサポートされるようになりました。CVE が無関係になった場合は、EUVD や JVN などの代替ソースを使用して sn_vul_nvd_entry テーブルに入力できます。

    脆弱性ソースの表示

    脆弱性ソースを表示するには:
    1. 移動先 ワークスペース > セキュリティエクスポージャー管理.
    2. 左側のナビゲーションで、[ リスト] を選択します。
    3. [ リスト] の下に移動する ライブラリ > 脆弱性.
    [ライブラリー - 脆弱性リスト (Libraries - Vulnerabilities List)] ページに、特定の CVE を拡張したすべてのソースが表示される新しい [ ソース ] 列が追加されます。NVD が拡張せずに CVE を生成した場合でも、 Microsoft Defender Vulnerability ManagementQualys、Mandiant などの他のソースを使用して CVE レコードを拡張できます。

    優先度ベースのフィールド構成

    フィールドが直接上書きされなくなりました。更新されたモデルでは、優先度ベースの構成を使用して、どのソースがどのフィールド値を提供するかを定義します。この構成は、ソース構成 [sn_sec_cvd_source_config_list.do] テーブルを介して管理されます。

    ソース構成にアクセスするには、「sn_sec_cvd_source_config」と入力します フィルターナビゲーターの LIST CVE 情報を提供する複数のソースがここにリストされ、それぞれに優先度が割り当てられています。NVD の優先度が最も高く、他の登録済みソースがそれに続きます。

    ソース固有の属性テーブル

    CVE レコードを拡張するソースに固有の属性を含む、ソースごとに個別のテーブルが維持されます。拡張データを NVD テーブルに直接書き込むのではなく、ソース固有のテーブルが参照として CVE レコードに追加されます。これらのテーブルは sys_db_object_list.do にあります。その後、さまざまなソースからの属性を NVD エントリーテーブル [sn_vul_nvd_entry_list.do] 内で選択できます。

    CVDUtil API

    CVDUtil は、脆弱性データを NVD エントリーテーブルに取り込むための中心となる API です。優先度ベースの処理を適用して、レコードに書き込まれるソースフィールドを決定します。

    すべての NVD テーブルの取り込みは、 CVDUtil API を経由する必要があります。この API は優先度構成を適用し、レコードの作成および更新中にフィールドレベルのルールが確実に遵守されるようにします。

    プライマリメソッドは createOrUpdateCVD です。呼び出されると、次の操作が実行されます。

    • 設定されたソースの優先度をチェックして、特定のフィールドを上書きできるソースを決定します。
    • イロードで拡張プロセス を実行し、優先度ルールに従って拡張データを適用します。
    • プロセスの ソース固有のフィールド を実行して、個々のソースにのみ属するフィールドを処理します。ペイロードは、 ソース フィールドを別のキーとして受け入れます。

    CVE 以外の脆弱性ソースが複数の CVE にマッピングされる場合は、 cvdlist パラメーターを介して関連する CVE 識別子を渡します。API は、指定されたすべての CVE に CVD レコードをリンクします。参照とエクスプロイトレコードは、この API から取り込むこともできます。

    最初に CVDUtil を使用してペイロードをビルドし、それを使用してレコードを挿入します。脆弱性スコア値は、さまざまなソースから取得できます。スコア割り当てでどのソースを優先するかを構成し、どのスコア値を優先するかを決定できます。

    主な機能

    優先度ベースのデータ拡張
    2 層の優先度システム (ソースレベルとフィールドレベル) は、複数のソースが同じ脆弱性について報告する場合に競合を自動的に解決し、最も信頼できるデータが確実に優先されるようにします。
    拡張可能な統合フレームワーク
    信頼できるデータベース、脆弱性スキャナー、脅威インテリジェンスフィードのすぐに利用可能なサポートが含まれています。追加の統合は、 CVDUtil API を介してカスタムソースの優先度で構成できます。
    ソース固有のデータ保持
    各ソースからの生データは専用テーブルに保存され、統合された CVD レコードに優先順位付けされたビューが表示される間、完全な忠実性が保たれます。
    フィールド更新トラッキング
    監査記録は、すべての CVD レコードの各フィールドを最後に更新したソースを記録します。これにより、データの出所の透明性とトラブルシューティングが可能になります。
    非 CVE から CVE へのマッピング
    アサインが利用可能になったときに非 CVE 識別子を CVE レコードにマッピングすることで、自動的に処理します。重複するエントリは非アクティブ化されます。
    CVDB [概要ワークスペース] タブ
    統合ワークスペースビューには、 CVDB レコードの詳細が表示されます。これには、CVSS スコア、EPSS データ、エクスプロイトステータス、参照、影響を受けるソフトウェア、および CWE 分類が含まれます。