この音声は自動生成されています。ご意見があればお知らせください。
ラスベガス — 世界的に有名なサイバーセキュリティ脆弱性をカタログ化するプログラムが不安定な状況にあり、大幅な改革が必要だと、ここDEF CONカンファレンスでサイバーセキュリティ専門家が土曜日に語りました。
共通脆弱性識別子(CVE)プログラムは、1999年の創設以来、ソフトウェアの欠陥発見と修正のプロセスを静かに支えてきました。しかし、MITREコーポレーションがサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)との契約のもとで管理しているこのプログラムの脆弱性データベースは、MITREの政府契約に関する問題で4月にほぼ停止しかけました。CISAは世論の反発を受けて、土壇場でその契約を更新しましたが、今回の出来事は、こうした重要なリソースを政府資金に頼ることのリスクをサイバーセキュリティコミュニティに思い起こさせました。
「正直なところ、CVEプログラムが資金を失ったとき、私たちは皆パニックになりました」と、Microsoftのグローバルサイバーセキュリティポリシーチームのセキュリティポリシーストラテジスト、エリザベス・アイグナー氏はDEF CONのパネルで語りました。「私は、確固たる資金提供と長期的な資金および継続性の保証を望みます。」
CVEプログラムは、ソフトウェア脆弱性に関する詳細情報の世界的な中央リポジトリとして機能しています。脆弱性を発見した人々は、CVEナンバリング機関(CNA)と呼ばれる組織に報告し、CNAはそれらを検証し、固有のCVE識別子を割り当て、CVEカタログに公開します。その後のベンダーパッチ、概念実証エクスプロイト、攻撃報告など、これらの脆弱性に関するすべての議論はCVE番号とカタログ記録の情報を参照します。
このデータベースは「重要インフラ」と見なされるべきだとアイグナー氏は述べ、Microsoftは毎月80〜100件の脆弱性をこのプログラムに報告していると指摘しました。
4月の契約問題は、サイバーセキュリティコミュニティ内での議論を再燃させました。コミュニティは以前から、重要なデジタルインフラが政府管理下にあることに懐疑的であり、CVEプログラムの米国政府資金への依存を減らすべきだと考えてきました。MITREの契約が失効寸前だった際、CVEプログラムの理事会メンバーは、MITREからプログラムを引き継ぐための非営利団体を設立しました。
CISAによるプログラムの後援は、「単一の政府スポンサーに依存するグローバルなリソースの持続可能性と中立性について、CVE理事会メンバーの間で長年懸念が持たれてきた」と、理事会メンバーは書いています。
最新情報をお届けします。Cybersecurity Diveの無料デイリーニュースレターにご登録ください。
CISAは、動揺したパートナーたちを安心させるために急いで対応しました。CISAの上級職員は、同庁が「CVEプログラムのスポンサーであることを誇りに思っている」と述べ、「自らの役割を見直すことにも非常に前向き」であるとしました。木曜日にここで開催されたBlack Hat USAサイバーセキュリティカンファレンスでは、CISAの職員が改めて強調し、このプログラムがセキュリティコミュニティの活動に不可欠であると述べました。
「幸いなことに、今のところすべて順調です」と、GitHubのアドバイザリデータベース管理シニアマネージャー、マディソン・オリバー氏はDEF CONのパネルで語りました。しかし、CVEプログラムの支持者たちは、その不安定さを新たに認識したとし、「プログラムが引き続き強靭で透明性があり、持続可能であることを確保することに注力している」と述べました。
アイグナー氏は、この出来事が米国政府と他の主要なプログラム参加者との間に「信頼のギャップ」を生んだと述べました。(彼女の雇用主であるMicrosoftは最大級のCNAの1つです。)多くの参加者が「お互いを少し警戒して見ている」とも語りました。
CVEの未来
CVEデータベースが政府資金による取り組みとして残るか、非営利団体に移行するかに関わらず、専門家たちはプログラムにより厳格なガバナンスプロトコルが必要だと述べています。
「単一の機関やベンダーへの依存から解放された独立したガバナンスが必要です」とアイグナー氏は言います。「より中立的で信頼できるプログラムになってほしい。[そうすれば]一つの組織がすべてをコントロールすることはありません。」
バグバウンティベンダーBugcrowdのアメリカ地域CISO、トレイ・フォード氏は、サイバーセキュリティコミュニティはプログラムの安定性にもっと注意を払う必要があると述べました。
「CVEは公共財であり、そのことをよく考える必要があります」と彼は言います。「私たちはその管理者でなければなりません。」
CVEプログラムは年々進化してきました。特に2016年以降、運営理事会がCNAになれる組織の範囲を拡大することを決定してからです。当時CNAは23団体でしたが、現在は463団体に増えています。
土曜日のパネルで、NETGEARのプロダクトセキュリティ責任者、チャンダン・ナンダクマライヤ氏は、CNA権限の多様化が、米国政府がCVEプログラムから撤退しても心配する必要がない理由の一つだと主張しました。
「決して悲観的な状況ばかりではありません」と彼は述べました。
MITREの契約が失効しても、CVEプログラムは継続していたはずだとナンダクマライヤ氏は述べました。ただし、データベースのホスティングに中断が生じていたでしょう。4月の出来事を受けて、CVE理事会はデータベースを非政府システムに「フェイルオーバー」させるバックアッププランを作成しました。
CVEエコシステムの他の参加者たちは、それほど自信を持っていませんでした。
「フェイルオーバープランが策定されたことは素晴らしい」とアイグナー氏は述べ、それを「信頼のギャップを緩和するための第一歩」と表現しました。しかし、まだ欠けているのは、プログラムの「コアインフラ」がセキュリティコミュニティ全体に対して説明責任を持っているという感覚だと述べました。
CISAの役割
CVEプログラムを新しい非営利団体に移行することは、こうした説明責任の懸念に対処する助けになるかもしれません。そして、その団体の設立者たちが指摘したように、インターネットインフラの歴史にもそのような前例があります。
「何が起きようとも」とアイグナー氏は言います。「CISAは依然として中核的な役割を果たす必要がありますが、他のプレイヤーが説明責任を持ち、そのコアインフラの一部となるにはどうすればよいでしょうか。ただの貢献者ではなく。」
プログラムの基盤を強化するための大きな取り組みがなければ、アイグナー氏は、複数の小規模グループがバラバラに代替を試みる「バルカン化」に崩壊する現実的なリスクがあると主張しました。「こうしたギャップは、私たち全員をより危険にします。」(5月には、欧州連合が独自の脆弱性データベースを立ち上げました。)
サイバーセキュリティコミュニティは今からCVEプログラムの将来に向けて計画を始めるべきだとアイグナー氏は述べ、「私たち全員が懸念しているロゼッタストーンの崩壊を回避できるように」と語りました。
Black Hat USA 2025の最新ニュースをさらに読むにはこちら。
翻訳元: https://www.cybersecuritydive.com/news/cve-program-future-cisa-def-con/757304/