TokyoBlackHatNews

therecord.media 4分で読了

監察官報告書、NISTの失策が脆弱性データベースを機能不全に陥れたと指摘

米国立標準技術研究所(NIST)が運営するサイバーセキュリティ脆弱性データベースの主要機能が、不適切な管理や戦略上の失敗によって損なわれ、深刻な処理遅延を招いているとする内部監察報告書が新たに公表されました。

商務省監察官が火曜日に公表した報告書によると、NISTの国家脆弱性データベース(NVD)における未処理の脆弱性の積み残しは、2024年2月時点の1万3,000件から2025年末には2万7,000件超にまで膨れ上がり、「NVDの有用性と公的信頼を損ねている」と指摘されています。

NVDは、業界および政府のサイバーセキュリティ担当者が脆弱性への対応優先度を判断する上で不可欠なツールです。処理遅延が深刻な問題として最初に顕在化したのは2024年2月で、NISTがセキュリティ上の欠陥を処理する委託業者への支払いを停止したことが発端でした。

報告書によると、NISTは2024年9月までに問題を解決すると約束し、月あたり約6,200件の脆弱性を処理するという目標を掲げていましたが、その目標にはほど遠い結果に終わりました。この状況は、NISTの計画不足によってもたらされたものです。

NISTは歴史的に月5,000件を超える処理実績がなく、目標達成に向けた具体的な計画も持ち合わせていなかったと、同機関自身が認めているとも報告書は述べています。

「NISTはNVDへの投稿を管理する持続可能なプロセスを持ち合わせておらず、大幅な変革なくして未処理の積み残しを解消し、将来的な処理遅延を防止することは不可能である」と報告書は結論付けています。

監察官の調査結果はCyberScoopが最初に報じました。NISTはコメントの求めに対し、即座に応答しませんでした。

重複する取り組み

戦略計画の脆弱性に加え、NISTはサイバーセキュリティ・インフラセキュリティ庁(CISA)との連携にも失敗しています。報告書によると、2024年5月から2025年12月にかけて、両機関は少なくとも2万1,000件において重複した作業を行いました。

CISAは2024年5月に独自の「Vulnrichment」プログラムを立ち上げましたが、NISTはNVDプログラムで依存していた業者を再雇用した後も、同庁との調整を怠りました。一時期には、両機関が同一の業者を雇用して同じ作業を実施するという事態も生じています。

NISTがCISAとの連携を拒んでいる実態が最初に明らかになったのは、NISTがCISAからの共同作業の呼びかけに応じなかった際だったと、報告書は述べています。

CISAがすでに対処済みの脆弱性を処理し続けるというNISTの判断により、2024年5月以降に約20万ドルが無駄に費やされたとも報告書は指摘しており、「不十分なコミュニケーションが関係者の不満を招き、NVDへの信頼を低下させている」と評しています。

「NISTはNVDを米国のサイバーセキュリティインフラの重要な柱と位置付けているが、処理の積み残し解消と再発防止に向けた行動は、その主張を体現していない」と報告書は述べています。「積み残しが解消され、プロセスが持続可能な形に改善されるまで、NVDはその使命を果たせず、公的信頼の低下は続くだろう」とも記されています。

問題解決に向けた提言

監察官は、NISTが深刻度スコアの付与と影響を受ける製品の特定をより効率的に行うよう勧告しています。スコアリングに費やす時間を削減することで、今後2年間で約80万ドルのコスト節減が見込めると監察官は試算しています。

報告書によると、NISTはスコアリング作業を安全に縮小できるとされており、その理由として、脆弱性報告の80%が最初の提出時点ですでに深刻度スコアを含んでいることが挙げられています。また、NISTが付与した深刻度スコアが独立した評価者の算出結果と一致するのはわずか12%にとどまることも、報告書は指摘しています。

さらに同機関は、関係者との効果的なコミュニケーションにも失敗していると報告書は指摘しています。2024年4月にサイバーセキュリティ専門家50名が議会と商務長官宛に公開書簡を送りましたが、NISTも商務省もその書簡に返答しなかったと報告書は述べており、「NVD運用の後退」に関する「透明性あるコミュニケーションの欠如」という書簡の主張を裏付ける形となっています。

報告書はNISTに対し、NVDの修復と積み残し解消に向けた計画策定、関係者とのコミュニケーション改善、深刻度スコアリングの削減、そしてCISAとの協力による作業重複の排除を求めています。

報告書に添付されたNIST代行ディレクターのCraig Burkhardt氏による4月付の書簡によると、同機関は勧告に同意し、直ちに業務改善に着手するとしています。

サイバー脅威アライアンスの代表兼CEOであるMichael Daniel氏は、NISTはNVDの責任をCISAに移管すべきだと主張しています。

「NVDのような長期的・継続的な運用プログラムの管理は、CISAの使命に照らしてより適切です」とDaniel氏はテキストメッセージで述べています。「NISTは深刻なリソース不足を抱えています」とも語っています。

翻訳元: https://therecord.media/nist-mistakes-vulnerability-database-inspector-general

ソース: therecord.media
#CISA #CVE #NIST #サイバーセキュリティ #セキュリティインフラ #処理遅延 #国家脆弱性データベース(NVD) #監察官報告書 #米国政府機関 #脆弱性管理

関連記事

NSA、サイバーセキュリティ主要ポストに新リーダーを選出

パキスタン関与が疑われるサイバースパイ作戦、アフガニスタン財務省を標的に

ゼロデイ公開をめぐる反発を受け、Microsoftがセキュリティ研究者を訴追しない方針を表明