セキュリティデータアナリストのジェリー・ギャンブリンによると、脆弱性の追跡、報告されたデータの迅速な充実、情報収集の維持に関する現在の課題は、共通脆弱性識別子(CVE)システムの刷新を求めている。
その結果、MITREと米国国立標準技術研究所(NIST)が管理する事実上のデータリポジトリであるNational Vulnerability Database(NVD)は、脆弱性の分析において依然として遅れをとっている。過去5年間で、共通脆弱性識別子(CVE)プロセスの一環として155,000件以上の識別子が割り当てられたが、ギャンブリンの分析によれば、そのうちわずか4分の1(26%)しか分析され、追加データで充実されていない。彼はこの分析結果を12月のBlack Hat Europeカンファレンスで発表する予定だ。
CVEプログラム全体は課題に耐えられるように見えるが、もはやコミュニティは米国政府にデータの維持を頼ることはできないとギャンブリンは述べている。
「NISTは非常に小規模な予算でNVDを運営しており、彼らの使命は連邦政府向けにCVEを充実させることです」と彼は言う。「彼らは偶然にもそのデータを世界中の誰もが利用できるようにしてくれていますが、それが単一障害点となってしまいました。」
2024年4月、資金不足のためNISTはNVDでのCVEの処理と充実をほぼ停止した。これにより大規模なバックログが発生した。その3か月後に追加資金が確保されたことで、グループは作業再開を約束したが、従来のやり方ではもはや十分でないと警告した。今年3月、NISTは脆弱性公開のペースが加速し続けていることへの対応に苦慮していると認め、組織としては出力レベルを維持しているものの、昨年の提出件数は32%増加したと述べた。
「[従来の]処理速度では、もはや新規提出に追いつくことができません。その結果、バックログは依然として増加しています」とNISTは2025年3月19日のNVD一般アップデートで述べている。「2025年も提出件数は増加し続けると予想しています。脆弱性が増加しているという事実は、NVDが我が国のインフラを守る上でこれまで以上に重要であることを意味します。しかし、それは今後さらなる課題が待ち受けていることも示しています。」
仲間からの少しの助け
課題の原因は、脆弱性報告数と提出者、つまりCVE番号管理機関(CNA)の数が急速に増加していることにある。現在、CNAは357以上存在しており、単一の組織が協力するには非常に多い数だ。しかし、特定のテクノロジー企業や政府機関が、業界や地域の提出を管理できる「ルートCNA」としてリーダーになることも可能だとギャンブリンは述べている。
他にも、欧州連合サイバーセキュリティ機関が管理するEU脆弱性データベース(EUVD)や地域的な取り組みが、情報の冗長性を高めるためにミラーリングを行うこともできると彼は言う。このような努力とデータの分散化は、脆弱性リポジトリをより強靭なものにすると、ネットワーク大手シスコの主任エンジニアであるギャンブリンは述べている。
現在、欧州連合サイバーセキュリティ機関(ENISA)は脆弱性報告の取り組みを拡大していないが、独自に脆弱性データの充実に取り組んでいると彼は述べている。
「いずれは、グローバルなCVEプログラムがそのデータをインポートし、正規化し、両方の記録を表示することを期待したいですね」とギャンブリンは言う。「そうすれば、ENISAが充実させたデータ、CNAが追加したデータ、他の誰かが追加したデータが一緒に見られ、どこに差異があるのか、どのグループが意見を異にしているのかが分かります。」
分散化か破綻か
ギャンブリンの計画は、報告の審査、データの充実、情報の保存を世界中で分散して行う能力のアイデアを推進することだ。彼は独自の取り組みでRogoLabsなど複数のセキュリティ情報サイトを立ち上げており、2025年時点で完全に充実したデータがない脆弱性の割合はわずか52%であると自身のデータ分析ダッシュボードCVE.icuで示している。
コミュニティは、記録を公開する企業に対し、できる限り完全な状態、つまりデータを完全に充実させるよう促すことから始めることができる。なぜなら、彼らが誰よりもそのデータをよく知っているはずだからだ。
さらに、最終的なシステムには、各脆弱性ごとにグローバルで一意な識別子が必要だとギャンブリンは述べている。
「最終的には、これはみんなのためのものであり、中央のCVE標準と記録フォーマットを維持することが重要だと思っています」と彼は言う。「誰がそれを所有するのかは分かりません――それは政治的な問題ですが――最終的にはグローバルな一意識別子があった方が良いのです。」
このセキュリティ研究者は、こうした可能性について議論することで、脆弱性データベースに依存するより多くの組織が声を上げることを期待している。
「これは『こう実装すべきで、すべて考え抜いた』という計画を持ち込む段階ではありません。もっと理想論的な話です」と彼は言う。「分散化がどのようなものか、そしてそれをどう発展させていけるかについて話しているのです。」
翻訳元: https://www.darkreading.com/cybersecurity-operations/can-global-decentralized-system-save-cve-data
