出典: Alamy Stock Photo経由のCarmen Gabriela Filip
新しい脆弱性データベースが登場し、その存在がバグ追跡の状況にどの程度影響を与えるかについて専門家の意見が分かれています。
欧州連合のサイバー機関であるENISAは、5月13日に欧州脆弱性データベース(EUVD)を立ち上げました。これは、昨年EUのNIS2指令の一環としてベータ版で導入されたCVEナンバリング機関(CNA)です。技術的にはまだベータ版ですが、ENISAは今日のプレスリリースでEUVDが「運用中」であると発表しました。
このデータベースのウェブサイトには、重大な脆弱性、悪用された脆弱性、EU-CSIRTが調整した脆弱性に専用の3つのセクションがあります。EUVDはCVEに似た独自のナンバリングシステム(「EUVD-年-指定」形式を使用)を持っていますが、リストには同等のCVEとCVSSスコアも含まれています。
プレスリリースによれば、「EUVDの目的は、CSIRT、ベンダー、既存のデータベースなど、複数のソースからの公開情報の高いレベルの相互接続を確保することです。」また、相互接続されたデータベースとして、EUVDはオープンソースのバグ相関ソフトウェア Vulnerability-Lookupと統合されます。
ENISAは今後数ヶ月でフィードバックを収集し、「2025年にはEUVDと関連サービスのさらなる改善と開発に専念する」としています。
関連:DeepSeek、深い研究はAIセキュリティに深い変化をもたらす
見過ごせない問題: MITREの不安定な資金
ここでの見過ごせない問題は、間違いなくMITREのCVEプログラムの資金、またはその不足です。CISAの同社とのCVEプログラム管理契約は4月16日に終了する予定でしたが、土壇場でCISAは資金をさらに11ヶ月延長しました。MITREのCVEプログラムは、脆弱性追跡における最も権威ある存在であり、サイバーセキュリティコミュニティ全体にとって貴重なリソースと見なされています。
EUVDはこの分野で初めての代替手段ではなく、民間および公共の団体が長年にわたり主要なCVEプログラムに対する代替および補完的なオプションを作成してきました。そして、それは必ずしも競争ではありません。一般的に、情報源が多い方が少ないよりも良いのです。しかし、この立ち上げがMITREの資金問題の最中に行われていることは言及する価値があります。CISAの削減、および最近の米国のサイバー政策に関するその他の問題の一連の問題の中で行われています。
Dark Readingは最近、1,504人の回答者にCVEシステムの将来についてどうあるべきかを尋ねました。499人はシステムがより効率的であるべきだと言い、422人は政府運営ではなく業界運営に移行すべきだと言い、377人は変更の必要はないと言い、206人は「攻撃者にあまりにも多くの情報を与える」として廃止すべきだと言いました。
関連:Googleがテキサスに対する1.375億ドルの「歴史的」プライバシー訴訟を和解することに同意
これらの結果に関連して、Dark Readingはセキュリティ専門家にEUVDの立ち上げについて、最近の米国のサイバー混乱によってどの程度影響を受けているか、そしてCVEスタイルの権威の将来がどうなるかを尋ねました。
MITREの資金がEUVDの立ち上げにどのように影響を与えるか
ENISAはプレスリリースでMITREの資金問題を直接引用し、NIS2指令の要件を満たすためにMITREを含む国際機関と協力したと述べています。具体的には、「ENISAは、共通脆弱性と露出プログラムへの資金に関する発表を受けて、その影響と次のステップを理解するためにMITREと連絡を取っています。」
Dark Readingは、資金に関する問題がEUVDの立ち上げに影響を与えたかどうかを尋ねるためにENISAに連絡しましたが、公開時までに回答はありませんでした。
攻撃的セキュリティ企業NeuvikのCEOであるRyan Leirvikは、EUVDが予想より早く展開されたという兆候はないとDark Readingに説明しますが、「パートナーシップの関係が信頼できなくなると(信頼性の低下が認識されるだけでも)、通常は自立が増加します。」
サードパーティリスクセキュリティベンダーBlack Kiteの主任研究およびインテリジェンス責任者であるFerhat Dikbiyikは、EUVDがしばらくの間進行中であるにもかかわらず、「その周囲の状況を無視するのは難しい」と述べています。
関連:脆弱性検出がRSACのスタートアップコンペティションでエージェンティックAIを上回る
「最近のCISAの予算削減とCVE資金に関する疑問が提起される中で、米国主導のサイバーセキュリティインフラストラクチャの信頼性が不確実になってきました」とDikbiyikは説明します。「その不確実性が他者を行動に駆り立てる可能性があります。ヨーロッパは長い間、デジタルセキュリティに関連する分野での自律性を求めており、この動きはそのパターンに合致しています。」
彼はまた、EUがグローバルなセキュリティコミュニティから離れようとしているわけではないが、「明らかに依存度を減らす方向に位置付けている」と述べています。
同様に、Legit Securityのフィールドチーフインフォメーションセキュリティオフィサー(CISO)であるJoe Nicastroは、「ヨーロッパが独自の脆弱性データベースの展開を迅速化しているのは驚くことではない」と述べています。
「EUにとって主権の観点からだけでなく、将来の資金と存続可能性が不明確な単一のシステムへの依存を減らすための賢明な動きだと思います」とNicastroは言います。「今年のRSACでENISAのCOOであるHans de Vriesと会ってこのトピックについて話す機会がありましたが、最終的な目標は、これら2つのシステムがCVEおよびCWEエコシステムに冗長性を提供するために緊密に連携することだと聞いています。」
中央脆弱性データベースの未来
述べたように、脆弱性データベースの状況は複雑であり、さまざまな技術使用ケースに対して多くの公共および民間の提供があります。
たとえば、クラウドの脆弱性に対するデータベースの試みが複数あり、通常はユーザーのアクションを必要としないため、CVEを取得しないことが一般的です。民間セクターでは、Flashpointは「VulnDB」として知られる製品を提供しています。これはもともとRisk Based Securityの一部で、Flashpointが2022年に同社を買収する前のもので、顧客に対して生きた脆弱性ダッシュボードを提供することを強調しています。
Flashpointの脆弱性歴史家であるBrian Martinは、同社が「従来の脆弱性システムに対するより機敏で独立した代替手段の必要性を長い間予測してきた」と述べ、EUVDが「半中央集権的なモデルがもはや十分でないという我々の信念を強化している」と述べています。
「EUVDのような代替手段の出現は、セキュリティコミュニティが同じギャップを認識していることの自然な結果です」とMartinは言います。
一方で、Black KiteのDikbiyikは、EUVDの立ち上げが「脆弱性の調整のような重要なシステムが一国や一つの資金源に完全に依存するべきではないという理解の高まりを反映している」と述べています。
別のCVEデータベースの存在は本質的に否定的ではありませんが、Contrast SecurityのベンダーCISOであるDavid Lindnerによれば、CVEがグローバルなセキュリティの状況のすべてではないことも注目に値します。
「中国のCNNVDのような代替手段の存在はすでに断片化された状況を示しています」と彼は言います。「CISOにとっての長期的な影響は、脆弱性を包括的に理解するために複数の情報源をナビゲートすることであり、より洗練されたインテリジェンス収集と分析が必要です。」
しかし、EUVDの断片化された脆弱性データベース空間への影響については、より批判的な意見もあります。
「欧州脆弱性データベースは、すでに混雑した分野にさらに官僚的な層を追加するように感じます」と、アプリケーションセキュリティベンダーQwiet.aiの共同創設者兼CTOであるChetan Conikeeは言います。「確かに、脆弱性データを集約することは理論上は良さそうですが、実際には?別のデータベースをチェックし、別のシステムを統合し、別の標準を調整する必要があります。セキュリティチームはすでに複数の情報源からのアラートに溺れています。EUVDを追加することで断片化が魔法のように解決されるわけではなく、悪化する可能性があります。」
したがって、彼は「別のサイロ」ではなく、既存のシステムのより良い標準化が必要だと言います。
どのように展開されるかはまだ不明ですが、EUVDがナンバリング機関間の整合性にコミットしていることを未来の兆しと見る人もいます。たとえば、LegitのNicastroは、EUVDが少なくとも部分的にCVE IDにその命名法をマッピングしていることを尊重しており、「彼らが実用性と相互運用性を考えていることを示しており、単なる政治ではない」と述べています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/eu-bug-database-vulnerability-tracking