「NISTの戦略的計画と果断な行動の欠如が、未処理脆弱性のバックログを拡大し続ける原因となっている」——米商務省監察総監
米商務省の監察総監が発表した報告書は、国家脆弱性データベース(NVD)への登録を待つ脆弱性のバックログが膨らみ続けている問題について、米国国立標準技術研究所(NIST)に責任があると指摘しています。しかしサイバーセキュリティの実務者たちは、バックログは現実の問題ではあるものの、以前から積み上がってきた課題であり、政府の対応も不十分だと述べています。
NISTを擁護する立場の人々は、予算削減によってその使命の遂行がはるかに困難になっていると指摘しています。さらに潜在的により深刻な問題として、過去2年間で脆弱性の発見と対応のあり方が大きく変化してきた点があります。生成AIの進化により、発見される脆弱性の数は劇的に増加し、そのスピードも加速しているのです。これにより、NVDのプロセスを根本から見直す必要があるのではないかという疑問が生じています。
省庁間の対立
監察総監の報告書は、NISTのさまざまな管理・戦略上の問題点を指摘し、その責任を問うています。
「NISTの戦略的計画と果断な行動の欠如が、未処理脆弱性のバックログを拡大し続ける原因となっている」と報告書は述べ、NISTとサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が大幅に重複する2つの脆弱性エンリッチメントプログラムを運営しており、2024年5月以降、約20万ドル相当の重複作業と無駄が生じていると指摘しています。さらに、NISTのステークホルダーへの情報共有が不十分であることが、関係者の不満を招きNVDへの信頼を低下させているとも述べています。
報告書はさらに、「NISTは持続可能性を確保するため、エンリッチメントプロセスの効率を改善しなければならない。今後2年間で約80万ドルをより有効に活用できると見込まれる」とも述べています。
また報告書は、脆弱性識別プログラムの問題の一部を長年にわたる省庁間の縦割り構造に起因するものとし、CISAが2年間にわたりNISTとほぼ同一のエンリッチメントデータを独自に提供し続けてきたことも指摘しています。
「したがって」と報告書は続け、「NISTはCISAのデータを活用してバックログ削減を加速する機会があった。しかしNISTの担当者は、NVDシステムがデータのソースを特定する機能を持っていなかったため、CISAのエンリッチメントデータを取り込むには技術的な更新が必要だったと説明した」と述べています。
このため、2025年3月にシステム更新と関連プロセスの変更が完了するまで、NISTはCISAのデータを使用することを拒否していました。そのデータを使うと、NVDのアナリストがエンリッチメントを実施したかのように見えてしまうからです。
「NISTがNVD上のデータのソースを明確にしようとしたのは理解できる」と報告書は述べた上で、「しかし結果として、同じ公開情報にアクセスできる2つの連邦機関——NISTとCISAのどちらがエンリッチメントを実施したかを区別するために、脆弱性の処理が遅延することとなった」と指摘しています。
非効率のもう一つの事例もエンリッチメントに関するものです。「2024年5月……CISAは『Vulnrichment』と呼ばれる独自の脆弱性エンリッチメントプログラムを立ち上げた。当時、CISAはNISTに対して協力を呼びかけ、新プログラムについて共同声明を発表するよう求めた。しかしNISTは共同声明への参加も、CISAのプログラムに関する発表も行わなかった。結果として、2つのプログラムは連携することなく運営され、エンリッチメント活動の重複が生じている」
NISTの重大度スコア算出、「もはや不要かもしれない」
さらに懸念事項として挙げられたのが、NISTによる重大度スコア算出の信頼性です。
「脆弱性の重大度スコアを生成するため、NISTは業界標準である共通脆弱性評価システム(CVSS)を使用している。……しかし今回の調査では、その実施が利用可能な情報と専門的判断に大きく依存していることが明らかになった」と報告書は述べ、内部テストでは独立したOIG評価者間での重大度スコアの一致率がわずか12%であったことを指摘しています。「重大度スコアは、誰がその作業を行うか、またその時点で利用可能な情報によって異なるという結論に至った」
報告書はさらにこう付け加えています。「従来、NISTはすべての脆弱性について独自の重大度スコアを個別に算出してきた。NISTは、情報セキュリティ上の脆弱性の性質と範囲を判断し、独立して重大度指標を割り当てるという使命の一環としてそれを行ってきたと説明している。しかし、NISTがすべての脆弱性について重大度スコアを算出する義務はない。今日においてこのアプローチはもはや必要ではなく、脆弱性の提出件数が増加し続けていることを踏まえれば、持続可能でもない」
監察総監の報告書にはNISTの公式回答も含まれています。CSO OnlineはNISTにコメントを求めましたが、掲載前に回答はありませんでした。
NISTはその回答の中で、NVDに向けたより良い戦略計画やバックログ管理計画の策定など、報告書の技術的な勧告すべてに同意するとした一方、報告書で使用されているトーンと表現には異議を唱えています。
「NISTの行動の影響を公正・客観的かつ事実に基づいて評価するのではなく、この報告書はNISTの意図と優先事項に対して不必要に疑念を投げかけている」と、暫定所長のクレイグ・バークハート氏名義のNIST回答は述べています。「草稿報告書は、客観的で事実に基づく評価の域を超えた表現に満ちている」
業界の反応
しかし一部の観察者は、監察総監の報告書は正確であるものの、より大きな問題を見落としていると指摘しています。
「バックログばかりが注目されていますが、その根底にあるのは資金の問題です。CISAはNVDの資金のほぼ半分を負担していましたが、それを撤退し、さらにNISTの研究所予算まで削減されました。これほど重要なものからこれだけの資金を引き揚げておいて、機能しなくなったことに驚いたふりをするべきではありません」と、Contrast SecurityのCTOであるジェフ・ウィリアムズ氏は述べています。
同氏はまた、OIGアナリストによる脆弱性重大度の算出がNISTと一致したのがわずか12%だったという事実は、ITが修正の優先順位付けに使用している指標が「ほぼ当てずっぽうと変わらない」レベルであることを示しており、バックログよりもはるかに深刻な懸念事項だと述べています。
ウィリアムズ氏はさらに、脅威分析の手動部分はもはや意味をなさなくなっていると主張し、スキャンやチケット管理といったセキュリティの「容易な部分」はすでに自動化されていると指摘しています。
「私たちは発見することには非常に長けるようになりましたが、それに対処することは上達しませんでした。脅威モデリングやアーキテクチャの精査といった本質的な予防業務は、依然として少数の上級者が手作業で行っています」と同氏は指摘します。「自動化すべき半分を間違えたのです。AIが真に革命をもたらせるのは、そもそも脆弱性を生まないために必要な、人材をいくら増やしても足りない専門家業務を支援するところにあります」
Kennyhertz Perryの訴訟・規制・政府調査専門弁護士であるブレイデン・ペリー氏も、一部の判断は法的義務によって強いられたものだというNISTの主張に異議を唱えています。
「それは法律家の論法であり、一面的なものです」と同氏は述べます。「法律は使命を定めています。バックログを生み出した選択を規定しているわけではありません。重要な区別があります。NISTは連邦規則を引用して、オープンソースソフトウェアの脆弱性に重大度指標を割り当てるよう同機関に指示していると主張しています。それは確かに義務です。しかし対象はオープンソースソフトウェアに限られており、すべての脆弱性ではありません。そして『重大度指標』と書かれているだけで、CVSSとは書かれていないのです」
さらに同氏は、ベンダーやCISAがすでに算出したスコアを再計算するようNISTに命じる規則は存在せず、それはNIST自身の判断だと述べています。「つまり義務は限定的であり、実践は広範なのです」と同氏は言い、監察総監の報告書がその点を明確にしていると指摘しています。
「NISTが引用する法令は、データベースの運営方法や何を提供するかについては何も規定していません」と同氏は指摘します。「運用上の判断はNISTに委ねられているのです。核心的な問い——NISTが法的にこのバックログを余儀なくされたのかという問いに対する答えはノーです。データベースを稼働し続ける義務は確かに存在します。しかしこの混乱は、選択の結果です」
NISTの主張は「法的義務ではなく、管理上の失敗です。(NISTは)報告書が不公平でコンテキストに欠けると主張することにほとんどのエネルギーを費やしています。それはプロセスへの不満であり、実績の弁護ではありません」と同氏は述べています。
Info-Tech Research Groupの技術顧問であるエリック・アヴァキアン氏は、報告書で指摘されたNVDの問題よりも、あまりにも多くの企業がNVDを唯一の脆弱性情報源として依存するようになっていることの方が懸念されると述べています。
「問いかけたいのは、なぜ私たちは重要な情報をNISTが教えてくれるのを待っているのか、ということです」とアヴァキアン氏は述べます。「NVDに過度に依存している組織には、より深刻な成熟度の問題があります。NVDは脆弱性管理プログラムの補完機能として位置づけるべきであり、それ全体であってはならないからです」
コーディング生産性ツールベンダーKodeziのCEOであるイシュラク・カーン氏は、脆弱性発見の規模が変化していることこそが本質的な問題だと述べています。
「サイバーセキュリティのインフラは、脆弱性の発見と同じペースで拡張しなければなりません。自動化とAIによって発見が指数関数的に加速する一方で、エンリッチメントと分析が依然として大部分を手作業に頼っている状況では、このギャップは拡大し続けるでしょう」とカーン氏は述べています。
「多くのCISOがこの報告書を監査の指摘としてではなく、警告サインとして受け取るだろうと思います。問題は、もはや脆弱性を発見できるかどうかではありません。それらを整理・優先順位付けする責任を担う機関が、そのペースに追いつけるかどうかです」
翻訳元: https://www.csoonline.com/article/4181438/us-government-report-slams-nist-for-nvd-backlog.html
