衝撃的な展開として、2025年4月15日、MITREが爆弾発言を投下したことで、私たちが知っていたセキュリティの世界は混乱へと陥りました。CVEプログラムを管理する契約を米国政府が更新しないという内容を告げる、CVE理事会宛ての書簡が発表されたのです。混乱が広がりました。コーヒーはこぼれました。重要なセキュリティ作業は手つかずのままになりました――主に、CVEプログラムにこれほど大きな変更が入ると何が起きるのか、誰にもよく分からなかったからです。中核的なプレイヤーが格下げされる、あるいは最悪の場合、離脱する寸前でした。
MITREが25年にわたり続けてきた共通脆弱性識別子(CVE)プログラムへのコミットメントは、4月16日に突然終わる予定であり、そうなればセキュリティ欠陥の追跡は宙ぶらりんになっていたでしょう。本来は内輪で済むはずだった話がソーシャルメディアに漏れ、サイバーセキュリティコミュニティは――半日にも満たない間――取り乱しました。
最新の更新によれば、サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、CVEプログラムを管理するMITREへの資金提供を延長し、差し迫っていた契約終了を覆しました。契約は11か月後に失効する予定であり、次の疑問が浮かびます。次はどうなるのでしょうか?
MITREがCVEを管理しない世界がどのようなものになるのか、理解していきましょう。
MITRE:CVEプログラムの管理者
MITREは、CISAおよびRed Hatと並び、3つある「最後の手段のCVE採番機関」(CNA-LR)の一つであり、トップレベルルート(TL-Root)でもあります。400を超えるCNAの大半は、特定のスコープと責任のもとでCVE IDとレコードを割り当て・公開していますが、MITREは最終的な「信頼できる唯一の情報源」として機能します。MITREは他のCNAに対するガバナンスと運営の責任を担い、他者のスコープ外に該当する場合にはCVEを割り当てます。
MITREはまた、過去10年にわたりNISTなど他の主要CNAと連携しつつ、対応者が脆弱性をよりよく理解できるよう、CVE自動化の最前線に立ってきました。次のようなツールやセキュリティプラットフォームによるCVEデータの、より迅速で標準化された取り込みへの道を切り開いてきたのです。
- JSON(機械可読性のため)
- CVE Services 2.0 API
- Vulnerability Exploitability eXchange(VEX)
- Common Security Advisory Force(CSAF)
これらの革新により、手作業によるCVE割り当てのボトルネックが解消され、セキュリティチームはCVEワークフローとより緊密に統合されました。世界中の企業は、悪用不可能な脆弱性によるノイズを大幅に減らし、より良い修復判断を下せるようになっています。
MITREがCVEプログラムの事務局(Secretariat)に選ばれたのは、驚くことではありません。MITREは商業的・営利的な動機ではなく公益のために活動しており、中立で信頼できる調整役となっています。MITREは、サイバーセキュリティ、システム工学、情報共有において数十年の経験を有しており、CVEプログラムのような複雑なエコシステムを管理するうえで不可欠です。
ドミノ効果
MITREは、公開されている既知の脆弱性と露出(exposure)に関する権威ある参照方法を提供するウェブサイトCVE.orgの運用者です。もし契約が失効し、MITREが突然サイトを停止した場合、企業はGitHubで利用可能な過去のCVEレコードに頼らざるを得なくなる可能性があります。CVEエコシステムは複雑であり、このデータベースは脆弱性管理やセキュリティ研究を行う人にとって極めて重要です。MITREがいなくなれば、新たな安定的資金の確保、あるいは他組織が名乗りを上げてCVEプログラムを支えることが切実に求められるでしょう。
「MITREへの資金提供がなくなれば、即座に連鎖的な影響が生じ、世界規模で脆弱性管理に影響を与える」と、Brian MartinはLinkedInに書きました。「脆弱性インテリジェンスのためにCVE/NVDに依存していた世界中のあらゆる企業が、自社の脆弱性管理プログラムにおいて、迅速かつ深刻な痛みを経験することになる。」
Brian Martin(脆弱性史研究者として32年)、Security ErrataプロジェクトのCSO、元CVE理事会メンバー
その結果、世界的な一般傾向として、攻撃者の活動が即座に急増し、企業がより頻繁に侵害される可能性が高いでしょう。ゼロデイは増え、世界中の企業がサイバーセキュリティ脆弱性の特定と優先順位付けに問題を抱えることになります。セキュリティ運用は逼迫し、アナリストは現場で新たに発見された脆弱性に関する報告がないか、目を光らせ続けることになるでしょう。
レジリエンス
連邦予算の削減が、サイバーセキュリティの状況に衝撃波を送っています。防御側が不確実性の高まりに直面する一方で、攻撃者には動きやすい余地が生まれます。国土安全保障省(DHS)と、DHS内の独立機関であるCISAが、多くのサイバー関連契約を失効させつつあると報じられています。報道によれば、CISAは、米国全土の数千の重要インフラ組織にサイバーセキュリティ支援を提供する主要組織であるMS-ISACとElection ISACへの資金提供を縮小すると発表したとされています。
今や、世界のセキュリティコミュニティが収拾のつかない混乱に投げ込まれるのは珍しいことではありません。この発表は、EUVD、GCVE、そしてCVE Foundationのような代替の脆弱性アラートソリューションに依存するための分散化の必要性を引き起こしました。11か月後、連邦政府の資金サイクルが再び信頼できなくなるとき、CVE Foundationは、CVEプログラムの長期的な実行可能性、安定性、独立性を確保するための代替ガバナンス構造となり得ます。CVE Foundationは、将来的にその構造、タイムライン、関与の機会について詳細を示す予定です。
まとめ:サイバーセキュリティ組織が取るべき次の一手
CVEプログラムは20年以上にわたり、世界のサイバーセキュリティ・エコシステムの礎として機能し、サイバーセキュリティベンダー、政府、重要インフラ運用者が脆弱性を一貫して特定・追跡できるようにしてきました。次の一手を担うのは防御側と企業ですが、彼らが単独で航路を描く必要はありません。この発表は、パートナーシップ、コミュニティ参加、あるいは戦略コンサルティングを通じて連携し、全方位の可視性を提供するプラットフォームを革新していく必要性を浮き彫りにしています。少数が舵を取るのではなくコミュニティが関与することで、助けが手の届くところにあると知り、セキュリティコミュニティは一定の安心感を得られるでしょう。
他の選択肢は常に存在しており、この混乱の余波を受けて、今後さらに支持を集める可能性があります。政府資金に依存するセキュリティプログラムに頼ることの不確実性は、世界のセキュリティコミュニティを根底から揺さぶりました。組織は、上記で触れた代替CVEソリューションはもちろん、ソフトウェア提供元、主要Linuxディストリビューション、脅威インテリジェンス提供者などの独立した情報源から直接提供される脆弱性アドバイザリも含める形で、脆弱性管理戦略を拡張すべきです。より良い備えとは、情報源の多様化、パートナーシップの強化、そして現状が変化しても揺らがない、より広く深く適応可能な可視性を備えたセキュリティへの投資を意味します。
セキュリティプログラムを将来にわたって強靭にする方法をもっと知りたいですか?会話を始めるために、お問い合わせください。
翻訳元: https://www.sysdig.com/blog/cve-wake-up-call-whats-ahead-after-the-mitre-funding-fiasco
