欧州のサイバーセキュリティ組織が、ソフトウェアのセキュリティ脆弱性を特定して番号付けするための分散型システムを立ち上げ、世界の技術コミュニティがセキュリティ欠陥を追跡・管理する方法に根本的な変化をもたらす可能性がある。
グローバルCVE割り当てシステム(Global CVE Allocation System)、すなわち GCVE は、従来のCommon Vulnerabilities and Exposures(CVE)プログラムの代替として、ルクセンブルクのコンピュータ・インシデント対応センター(CIRCL)が維持する。従来のCVEシステムを運用する非営利団体MITREとの契約を、サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)が当初更新できなかったため、CVEプログラムは昨年4月に 危うく停止を免れた。土壇場での延長により即時の崩壊は回避されたが、この危機一髪の事態は、25年の歴史を持つ同プログラムが単一の資金源に依存していることを露呈し、競合モデルの開発を促した。
脆弱性識別子の割り当てに中央集権的な構造を依存する従来のCVEシステムとは異なり、GCVEは、中央機関から事前に割り当てられたブロックを求めたり、中央で強制される方針に厳密に従ったりすることなく識別子を割り当てられる独立した番号付け機関を導入する。承認された各番号付け機関には固有の数値識別子が付与され、それが脆弱性識別形式の一部となることで、組織は自らのペースで識別子を割り当て、脆弱性識別に関する独自の内部方針を定義できる。
このシステムは、技術的な調整により既存のCVEインフラとの後方互換性を維持する。既存および将来の標準CVE識別子はすべて、番号付け機関の指定「0」を予約値として用い、GCVEシステム内で表現される。従来システムでCVE-2023-40224と識別される脆弱性はGCVE-0-2023-40224として表現でき、新しい枠組みが既存のデータベースやツールを混乱させることなく、確立された慣行と共存できる。
このシステムの登場は、CVEプログラムのガバナンスと持続可能性に関する より広範な懸念 を反映している。4月の資金危機は、MITREが プログラムの25周年 を祝ったわずか1カ月足らず後に起き、CVE識別子をソフトウェア脆弱性の追跡・開示・修復の基盤として利用するサイバーセキュリティ防御側の間で、複数の専門家が「パニック」と表現する状況を生んだ。この停止寸前の事態に先立ち、米国国立標準技術研究所(NIST)でも、予算不足により多くの脆弱性に関する重要なメタデータの提供を停止するという 別の2024年の資金危機 が発生していた。昨年5月には、商務省の監察総監が同プログラムの監査を開始した。同監察総監室は、監査の状況に関するCyberScoopの問い合わせに回答しなかった。
GCVEシステムは、欧州連合(EU)のサイバーセキュリティ基盤の枠組みに位置付けられており、欧州連合サイバーセキュリティ機関が調整する EUコンピュータ・セキュリティ・インシデント対応チーム(CSIRT) ネットワークなどが含まれる。ENISAは 欧州連合脆弱性データベース を運用しており、これはCIRCLの vulnerability-lookup ソフトウェアに依存している。
GCVEの番号付け機関になりたい組織は、CIRCLに連絡して申請できる。既存のCVE番号付け機関や、適格基準を満たす組織は、番号付け機関ディレクトリファイルで用いられる形式に類似した基本的な組織情報を提供できる。このアプローチにより、中央レジストリを通じた調整を維持しつつ拡張が可能となる。
昨年の資金危機を受けて、CVE Foundationは、脆弱性追跡のための民間部門および複数政府による資金調達の確立を目指す米国拠点の非営利団体として 設立された。会計担当のピート・アローは、資金提供者の発表が間近であり、財団は2025年末までに稼働可能になる可能性があると述べた。CISAは9月に独自の改革ビジョンを公表し、参加拡大、資金源の多様化、データ品質の改善に向けた計画を示したが、複数の専門家は、同庁が代替システムを開発する組織に働きかけていないと述べた。Institute for Security and Technologyは10月に 別の提案を公表 し、米国政府の関与を維持しつつ、ガバナンスの拡充と多様な資金調達を伴って既存のCVEプログラムを基盤に構築する「グローバル脆弱性カタログ」の創設を求めた。
翻訳元: https://cyberscoop.com/gcve-vulnerability-database-launches/
