4月16日、非営利R&D組織MITREが共通脆弱性識別子(CVE)活動の25周年を祝ったわずか1か月足らず後、プログラムは土壇場での11か月間の契約延長により突然の終了を回避し、危機を免れた。
この危機一髪の出来事は、脆弱性の専門家やサイバーセキュリティ防御者たちを不安にさせた。彼らの多くは、ソフトウェアの脆弱性を検出・追跡・修正するためのこの重要な仕組みが、いつ突然消滅してもおかしくないと今も恐れている。
「今はまだ、4月に爆弾が落とされた後の断片的でビジョナリーが残骸を拾い集めている段階です。これは2年連続で起きており、2024年にはNVDの資金危機もあった」とSonatype共同創業者兼CTOのブライアン・フォックスはCyberScoopに語った。
2024年初頭、米国標準技術研究所(NIST)が管理する国家脆弱性データベース(NVD)の資金が枯渇し、組織は多くの脆弱性に対して必要な重要なメタデータの提供を停止した。この情報不足は未だ完全には解消されていない。
問われているのは、世界のソフトウェアセキュリティの基盤となるシステムの将来の信頼性と信憑性だ。CVEプログラムは単なる技術的なデータベースではなく、脆弱性の追跡・公開・最終的な修正の調整における世界の要である。
CVEプログラムにおける混乱や不確実性は、防御者間の情報共有を遅らせ、インシデント対応を弱体化させ、攻撃者に優位を与えるリスクがある。したがって、プログラムの支配権は莫大な影響力を持つ。どの組織が責任を持つかによって、優先順位の設定、公開方針の形成、システムが開かれ中立かつ効果的に維持されるか、あるいは断片化・遅延・混乱に陥り重要な技術が危険にさらされるかが決まる。
増え続けるCVE代替案
資金危機は防御者を動揺させただけでなく、機会を狙う代替システム提供者の波に道を開いた。CVEの危機的状況の後、新たなアイデアや脆弱性追跡の手法が次々と生まれ、注目を集めた。
その中には、欧州連合サイバーセキュリティ庁(ENISA)が組織するEUVD(欧州連合脆弱性データベース)、CIRCL.euが開発したGCVE: グローバルCVE割り当てシステム、ルクセンブルクのコンピュータインシデント対応センター、そしてCVEプログラムを支援するために設立された米国の非営利団体CVE Foundationが含まれる。
これらの代替案が多くの人に現実的に見えるのは、単純に米国政府だけに資金を依存していないからだ。
「CVEプログラムをここまで導いたものが、次のステップへは導いてくれない地点に来ている」とEmpirical Security創設者でCyentia Instituteのチーフデータサイエンティスト名誉職のジェイ・ジェイコブズはCyberScoopに語った。「それはかなり明白だと思う。」
そのため、少なくとも他に2つの組織がCVEのガバナンスの新たなコンセプトを提案しており、その1つはCISA自身である。
CISAによる新CVEプログラムのビジョン
批判と不確実性が高まる中、CISAも刷新されたCVEプログラムを推進している。9月10日、CISAは新たなCVEプログラムの「ビジョン」を発表し、いくつかの根本的な変更を検討している。
その1つは、現状よりも幅広い参加者にCVEプログラムを開放することだ。「CISAは、国際的な組織や政府、学術界、脆弱性ツールプロバイダー、データ消費者、セキュリティ研究者、運用技術業界、オープンソースコミュニティからのより良い代表性を確保するため、パートナーシップを活用する意向です」とCISAの新アプローチをまとめた文書には記されている。
また、CISAは多様な資金調達の仕組みも検討し、オートメーションやその他の機能の迅速な導入によるCVEの近代化を目指している。透明性の確保のため、CISAはコミュニティからのフィードバックやグローバルパートナーとの対話を求めるとしている。
さらにCISAは、CVE記録の品質向上にも取り組み、認定ナンバー機関の最終手段(CNA-LR)がエコシステムで果たす独自の役割に応じた改善を優先する計画だ。
しかしCISAは、1月以降大規模な予算削減と人員削減に直面しており、10月1日の政府閉鎖開始時には約200人の解雇もあった。また、ホワイトハウス行政管理予算局長のラッセル・ヴォートからも敵視されており、彼はヘリテージ財団のためにプロジェクト2025を主導した際、CISAの完全廃止を望んでいた。さらに、CISA長官に指名されているショーン・プランキーはまだ承認されていない。
CISAの不透明な将来により、一部の脆弱性専門家からはCVEプログラムを迅速に米国政府の管理下から外すべきだとの声が高まっている。ある著名な脆弱性科学者(政治的な話題について自由に話すため匿名を希望)はCyberScoopに「より民間主導で政府の関与が少ない解決策を人々は求めている。今年初めの騒動でもそうだったし、CISAのレイオフや政府閉鎖でその傾向は強まっている」と語った。
フォックスもまた、CISAがCVEプログラムを管理する信頼できる組織か疑問視している。CISAの多くのセキュリティ研究者が「移民関連の業務などに異動させられた」とする報告を引き合いに出した。
すべての専門家がCISAをCVEプログラムの管理役から外すべきだと考えているわけではない。Institute for Security and Technology(IST)政策担当上級副社長のニコラス・レイサーソンは、最近のサイバーセキュリティ会議で「CISAがプログラムを引き続き支援するという公約を聞いている。それは良いことだ」と述べた。
代替案を運営する専門家たちによれば、CISAは同庁のビジョンで示した野心的な変革について彼らに連絡を取っていないという。「私が参加している脆弱性管理エコシステムの多くの人や、他の非営利団体、深く関わっている人たちと話しても、CISAから連絡はない」とCVE Foundation会長のピート・アラーはCyberScoopに語った。
グローバル脆弱性カタログ
CISAが1つの道筋を示す一方で、シンクタンクや政策グループは他の案も描いている。中でも注目されるのは、ISTによる脆弱性命名モデルのグローバル化提案だ。
10月8日、ISTは今後25年間のプログラムの「設計図」となるポジションペーパーを発表した。この文書(レイサーソンが主執筆者)は、CVEと同様に一意の識別子を用いて実用的なサイバーセキュリティ脆弱性のカタログを維持・提供するグローバル脆弱性カタログ(GVC)の創設を提唱している。
設計図では、GVCはCVEプログラムを出発点とし、理事会メンバーの拡大、多様な資金調達手段、米国政府(ホワイトハウス国家サイバー局含む)によるガバナンスを想定している。
レイサーソンは、GVCモデルでは資金の多様性が鍵だと強調する。「最も重要なのは多様性であり、それは他国政府からの多様性だ」とCyberScoopに語った。「産業界の多様性、慈善団体や他の財団からの多様性もそうだが、多様性は極めて重要で、我々の主張の核心だ。」
しかし、GVCプログラムに複数の政府が参加することの最大のリスクは断片化だとも指摘する。「グローバル脆弱性カタログの利点は、それが唯一であることだ」と述べた。
「そのようなものは1つである必要があり、断片化が始まるとほとんどの有用性が失われる」と続けた。「断片化による最大のリスクは政府から来る。政府の強力な関与がなければ(ガバナンスや資金提供の一部として)、問題が生じるだろう。」
CVE Foundation
CVE Foundationは現行システムに対する最も目立つ代替案の1つを提供している。3月に短期的な資金危機が始まった際、CISA-MITREモデルの置き換えを提唱し始めた。
一部の脆弱性専門家が少なくとも1年の移行期間を求めるのに対し、アラーは現行のCVEシステムをCISAとMITREから自らの非営利モデルへ移行するのは比較的容易だと考えている。「CVEは単なる名前空間だ」とCyberScoopに語った。「つまり一意の識別子の集合に過ぎない。だから米国政府がCISAを通じてCVEに戦略を依存しているなら、他の仕事を探すべきだと思う。」
アラーは政府にも財団への参加を望むが、ガバナンスの役割は持たせたくないという。これは難しいバランスだ。「政府の問題は、資金を出したら投票権や発言権があると思いたがることだ」と述べた。「でも実際は、あなたは単に資金を提供する一員に過ぎない。それで拒否権や他の全員を覆す権利が与えられるわけじゃない。」
アラーは「今、財団への移行に非常に近づいている。現在1人の資金提供者がいて、もう1人の支援者を公に求めている」とCyberScoopに語った。「そうなれば、いくつかの国政府や地域政府機関、そして多くの民間支援者が名乗りを上げるだろう。」
アラーは、これらの支援者が数か月以内ではなく数週間以内に公表されると予測している。
CISAが現在プログラムにどれだけ投資しているかについては意見が分かれる。ある情報筋は年間6000万ドルと言い、他は2500万ドル程度だとする。アラーによれば、財団は「8桁前半」の予算で運営しているという。
時間との闘い
これらの競合モデルのいずれが勝つかは不透明だが、次の資金切れまで時間は残り少ない。
アラーによれば、CVEプログラムを維持する11か月の延長は2026年3月6日に切れるため、CISAは次の資金危機を回避するため迅速に行動しなければならない。しかし、現状の混乱や政府閉鎖の混迷を考えると、それは難しいだろう。
あるいは、GVCやCVE Foundationなどの競合モデルの1つが迅速に動き、CVEの危機を回避する必要がある。しかし、CISAがCVEプログラムの継続性を提供できず一時的な中断が起きても、世界が終わるわけではないと語る専門家もいる。
「もしそうなってCVEプログラムが米国政府の優先事項でなくなった場合でも、第三者が引き継ぐだろう。ヨーロッパの友人たちか、CVE Foundationのようなコンソーシアムが集まるかだ」とBitsight主任研究科学者のベン・エドワーズはCyberScoopに語った。
「そして良いことに、ほとんどのフレームワークやインフラはオープンだ」と続けた。「CVEフレームワークはダウンロードできる。MITREが裏で行っている多くの作業もCVEプログラムを通じて利用できる。他の組織がそのガバナンスを引き継ぐのは不可能ではないと思う。」
翻訳元: https://cyberscoop.com/cve-program-funding-crisis-nvd-cisa-alternatives/
