共通脆弱性識別子(CVE)プログラムの理事会は、より多くの貢献を促し、今後の取り組みの方向性を形作るために、新たに2つのフォーラムを立ち上げました。
非営利団体MITREが運営し、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が後援するCVEプログラムは、4月に契約が満了したことで今後の行方が不透明となっていましたが、報道によると、その後11か月間の延長が決定しました。
この期間以降の長期的な将来は依然として不透明ですが、CVE理事会はより多くの利害関係者が意見を述べ、プログラムの戦略形成に関与できるようにする意向を示しているようです。
7月1日、理事会は新たに2つのフォーラム、CVEコンシューマーワーキンググループ(CWG)とCVEリサーチャーワーキンググループ(RWG)の設立を発表しました。
コンシューマーワーキンググループ:CVEデータ利用者向け
CWGは、CVEリストデータのエンドユーザーである企業、セキュリティチーム、脆弱性アナリスト、政府機関、マネージドセキュリティサービスプロバイダー(MSSP)、学術研究者、ソフトウェアベンダー、ツール開発者など、意思決定や運用防御、リスク管理のためにCVEデータを活用する組織・個人の視点を代表することを目的としています。
「CWGは利用者のニーズを特定し、CVEデータの使いやすさを評価し、CVEプログラムが実際の利用ケースに合致し続けるための改善を提言します」とCVE理事会は述べています。
CWGは、CVE理事会メンバー、CVEナンバリング機関(CNA)—CVEを公開する審査済み組織—、認定データパブリッシャー(ADP)—CVEデータの拡充が認められた組織—、およびCVEデータを利用・取り扱う外部ステークホルダーや「CVEの利用に関して関連する視点を持つ」個人に開かれています。
Ampere Software Technologyで脆弱性管理を専門とするサイバーセキュリティアーキテクトのJean-Baptiste Maillet氏は、LinkedInの投稿でこの設立を歓迎しました。
「CVEプログラムでユーザーが声を上げられるようになるまで25年以上かかりましたが、遅くなってもやらないよりは良いでしょう」と同氏は述べています。
リサーチャーワーキンググループ:研究・バグバウンティCNA限定
RWGは、指定された研究者CVEナンバリング機関(CNA)の拡大コミュニティにおける作業規範の確立に特化しています。
「これには研究コミュニティへのガイダンスや助言の提供、CVEプログラムの推進を目的としたその他の研究コミュニティ活動が含まれます」とCVE理事会は説明しています。
RWGはTLP:Amber指定のもとで運営され、グループ内で共有された情報は参加者およびその所属組織に限定され、必要性が認められる場合のみ限定的にさらに共有が許可されます。
RWGへの参加はCWGよりも限定されており、CVE理事会および現在活動中のCNAのうち、研究CNAまたはバグバウンティCNAに指定された代表者のみが参加できます。
研究CNAやバグバウンティCNAに関係のない個人は、現メンバーの合意があった場合のみRWGのミートアップに参加できます。
現在、CWGとRWGの両方でメンバーの参加を受け付けています。
画像クレジット:CVE/MITRE
翻訳元: https://www.infosecurity-magazine.com/news/cve-program-new-user-researcher/