米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、新たな文書の中で、共通脆弱性識別子(CVE)プログラムへの支援を確認しました。
同庁はまた、今後のCVEプログラムの優先事項について、「クオリティ時代」と呼ぶ新たなフェーズにおける方向性を示しました。
CISA、多様化したCVE資金調達の仕組みを検討
このCISA戦略重点文書「サイバーセキュアな未来のためのCVEクオリティ」は、9月10日に公開されました。
これは、CISAが2025年4月にMITREとの契約を11か月延長するという決定を下す6か月前のことであり、プログラムへの資金提供が2026年3月まで確保されることになります。
この文書では、CVEプログラムを引き続き公開で維持し、ベンダーニュートラルであるべきだとし、民営化すれば「公共財としての価値が薄れる」と強調しています。
しかし同庁は、プログラムにおけるより積極的なリーダーシップと追加投資の必要性も認めています。
「コミュニティの多くから、CISAが代替的な資金源を検討するよう要望が寄せられています」と同庁は付け加え、「多様化した資金調達のための潜在的な仕組みを評価している」と述べました。
LinkedIn上で、VulnCheckの脆弱性研究者パトリック・ギャリティ氏は、文書内にMITREへの言及がないことを指摘しました。「これはCISAがプログラム運営の事務局役を担う意図の表れでしょうか?」と彼は問いかけています。
より広範なマルチセクターの関与が必要
CISA戦略重点文書は、今後CVEプログラムにおいてより広範かつ多分野の関与、透明性のあるプロセス、説明責任の必要性を強調しています。
「CVEプログラム諮問委員会は、エコシステム全体を包括的に代表するべきです」と記されています。
「CISAは、国際機関や政府、学術機関、脆弱性ツールプロバイダー、データ消費者、セキュリティ研究者、OT(運用技術)業界、オープンソースコミュニティからのより良い代表性を確保するため、パートナーシップを活用する予定です」と同庁は述べ、Vulnrichmentプログラムを模範例として挙げています。
2024年5月にCISAが開始したVulnrichmentプログラムは、米国国家脆弱性データベース(NVD)が残したギャップを埋める上で重要な役割を果たしています。
NVDは、米国国立標準技術研究所(NIST)内で運営されている下流の脆弱性公開・拡充プログラムです。ここ1年半、NVDも資金や人員の問題を抱えています。
CISAは既にCVE貢献者の範囲拡大に向けた取り組みを開始しており、2025年7月には新たなCVEフォーラムやワーキンググループを開設しました。具体的には、CVEコンシューマーワーキンググループ(CWG)およびCVEリサーチャーワーキンググループ(RWG)です。
VulnCheckを代表して、ギャリティ氏はLinkedInで次のように述べています。「私たちは、より幅広い参加を通じてCVEプログラムの改善に貢献し続けています。たとえば、Tod Beardsley氏、Cisco Talos、Trend MicroのZero Day Initiative、GitHub、その他のセキュリティ研究CVE番号付与機関(CNA)と協力し、セキュリティ研究者ワーキンググループの立ち上げを支援しました。」
CNAとは、特定の範囲と責任を持ち、定期的にCVE IDを割り当て、対応するCVEレコードを公開する権限を持つ組織です。
CVEプログラムの近代化ロードマップ
さらに、CISA戦略重点文書では、今後のCVEプログラムの近代化に向けた目標も示されています。これには、CNA、ラストリゾートCNA(他のCNAの範囲に含まれない脆弱性にCVE IDを割り当て、CVEレコードを公開する責任を持つ審査済み組織)、認定データパブリッシャー(ADP:既存の脆弱性レコードにデータを追加する権利を持つ組織)などが含まれます。
これらの目標は以下の通りです:
- 自動化やその他の機能のより迅速な導入を優先し、特にCNAサービスの改善、下流データ消費者へのAPIサポート拡大、CVE.orgの改善を図る
- CVEレコードの品質に関する新たな最低基準の導入や、拡充をスケールさせるための連携メカニズム(例:Vulnrichment、認定データパブリッシャー機能)の開発により、脆弱性データの品質を向上させる
- ラストリゾートCNA(LR)全体で透明性、可視性、応答性、データ拡充を改善する
- コミュニティからのフィードバックを求め、プログラムのロードマップ決定に反映させる
- プログラムのマイルストーンやパフォーマンス指標を定期的に発信する
- グローバルパートナーとの対話を積極的に行う
Infosecurityの取材に対し、VulnCheckのギャリティ氏はこの文書を歓迎しました。
「これは出発点であり、プログラム全体の改革の必要性を強調しています。これまでほとんど手つかずだった多くの改善の機会があります」と彼は述べました。
「成長時代」から「クオリティ時代」へ
この文書はまた、CVEプログラムの過去の「成長時代」と今後の「クオリティ時代」との区分を制度化しています。
CISAによると、CVEの成長時代は「460を超えるCVE番号付与機関(CNA)からなる広範な世界的ネットワークの構築に成功し、サイバーセキュリティコミュニティが何十万もの脆弱性を特定・定義・カタログ化する能力の飛躍的な成長に貢献した」ことが特徴です。
しかし、今やこのグローバルなサイバーセキュリティコミュニティのニーズに応えるため、プログラムは進化しなければなりません。そのためには、信頼性、応答性、脆弱性データの品質向上に特に注力する新たなフェーズへ移行する必要があります。
この成長時代とクオリティ時代の区分は新しいものではありません。
2024年9月、当時CISAの脆弱性対応・調整ブランドチーフだったリンジー・セルコヴニック氏は、2024年秋のInfosecurity Magazine Online Summitで同様の用語を用いていました。
「過去8~10年間、CVEプログラムは成長時代にあり、主にCNA数と脆弱性公開数の増加に注力してきました。今、私はクオリティ時代に入ったと考えています。エコシステム全体が向上するよう、より良いデータを求めることに注力しています」と彼女は述べました。
2025年8月のBlack Hat USAに招かれたCISAの現職エグゼクティブアシスタントディレクター、クリストファー・ブテラ氏も、脆弱性公開におけるさらなる自動化の必要性を強調する際に同様の表現を用いました。
「より迅速な対応のためには、エコシステムに自動化を組み込む必要があります。そして、私たちはそれを構築し続けてきました。今、私たちは成長時代からクオリティ時代へと移行しています」とBlack Hatの聴衆に語りました。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-launches-roadmap-cve-program/