英国の国家サイバーセキュリティセンター(NCSC)は、脆弱性研究に関する理解を深め、外部のサイバーセキュリティコミュニティ間でベストプラクティスの共有を促進することを目的とした新たな取り組みを開始しました。
昨日発表された「脆弱性研究機関(VRI)」は、NCSCが以下の点をより深く理解するのに役立ちます:
- 特定の製品や技術に存在する脆弱性
- これらの脆弱性を修正するために必要な対策
- 研究者がどのように研究を行っているか
- 脆弱性研究(VR)でどのようなツールを使用しているか
VRIは、技術専門家、リレーションシップマネージャー、プロジェクトマネージャーからなる中核チームで構成されています。彼らの役割は、NCSCの社内脆弱性研究チームからVRIの業界パートナーへ要件を伝達し、研究の進捗を監督することです。
「この成功したワークスタイルにより、NCSCのVR実施能力が向上し、英国のVRエコシステム全体でVRの専門知識が共有されます」とNCSCは述べています。
「私たちの研究は、サイバーセキュリティに関する国家技術機関としての助言やガイダンスに役立つだけでなく、技術ベンダーと連携し、発見したバグの修正やより安全な製品の開発を促すことも可能にします。」
脆弱性研究についてさらに読む:NCSC、Next.jsの脆弱性修正をユーザーに即時呼びかけ
NCSCは、技術革新の急速な進展により脆弱性研究がますます困難になっていると警告していますが、英国の組織向けガイダンス策定に活用できる専門知識を機関内に蓄積することが不可欠だとしています。
同機関は、今後はAIの脆弱性研究への応用などのテーマで、業界の専門家との連携をさらに拡大したいと述べています。
また、今年5月には、今後2年間でAIが脆弱性研究や脅威アクターによる悪用開発(VRED)を加速させる可能性が高いと警告しており、ネットワーク防御者がサイバーセキュリティを拡張することの重要性がますます高まっているとしています。
この懸念は、ReliaQuestの研究者も共有しています。
NCSCはまた、ソフトウェア業界に対し、設計段階からセキュリティを優先する開発プロセスの改善を求めています。ベンダーや開発者が「トップレベル」の対策をより簡単に実装できるようにし、「許されざる」脆弱性のクラス全体を根絶したいと考えています。
今年初めに発表された論文は、セキュリティ研究者が脆弱性が「許されるもの」か「許されざるもの」かを評価するのに役立つよう設計されており、市場への圧力を高める狙いがあります。
翻訳元: https://www.infosecurity-magazine.com/news/ncsc-vulnerability-research/