米国立標準技術研究所(NIST)は、脆弱性分析への需要が急増する中で、ソフトウェア脆弱性の分析における自らの役割を再評価している。これは、そうした欠陥をカタログ化するプログラムに対する政府の継続的なコミットメントについて、パートナーを安心させようとする取り組みでもある。
「私たちは(国家脆弱性データベース[NVD])について、そして戦略的に今後どう進めていくかについて、ますます考えるようになっています」と、NISTコンピュータセキュリティ部門の暫定責任者であるジョン・ボーエンズ氏は、四半期会合の場で木曜日に、同機関の情報セキュリティおよびプライバシー諮問委員会のメンバーに語った。
NISTによるNVDの戦略的見直しは、連邦資金で運営される共通脆弱性識別子(CVE)カタログに掲載された欠陥に詳細情報を付加するものだが、サイバーセキュリティの専門家がCVEエコシステムの管理における政府の役割をますます疑問視するようになる中で行われている。NISTは長年にわたり、分析を要する脆弱性の洪水に追いつけない状態が続いており、2025年には政府資金が途切れかけたことをめぐる論争が、重要なサイバーセキュリティ資源の行方に対する懸念を強めた。
「この1年半ほど、私たちはやや後手に回ってきました」と、NVDを管理する同氏は、四半期会合の2日目に委員会メンバーへ語った。
ボーエンズ氏によれば、長年にわたり、脆弱性はNISTが分析して詳細情報を提供できる速度をはるかに上回ってデータベースに流入してきた。NISTはこのプロセスを「エンリッチメント(情報付加)」と呼んでいる。この作業は「非常に労働集約的」であり、「そこに入ってくるCVEの量に対してスケールしない」と同氏は説明した。「私たちは負け戦をしている。そこは認識しています」
欠陥のトリアージ
この問題を解決するため、NISTは、どの脆弱性にエンリッチメントを施すかを、複数の要因に基づいて優先順位付けし始める。要因には、当該脆弱性がサイバーセキュリティ・インフラセキュリティ庁(CISA)の「既知の悪用されている脆弱性」カタログに含まれているか、連邦機関が使用するソフトウェアに存在するか、そしてNISTが重要(クリティカル)と定義するソフトウェアに存在するかどうかが含まれる。
「すべてのCVEが同じではありません」とボーエンズ氏は述べた。「私たちはその優先順位付けを定義している最中です。しばらくの間、非公式な優先順位付けはしてきました。今、それを正式化したいのです」
NISTはまた、エンリッチメントに対する期待値を見直すため、未エンリッチの脆弱性に対して「バックログ」という言葉を使うことを控えるよう促している。「別の用語を見つけなければなりません」とボーエンズ氏は言う。「世の中にある、あるいはこれまで提出されたすべてのCVEにさかのぼってエンリッチメントを施そうとすることは、私たちの使命やステークホルダーのためにならないと思います」
責任の移行
同時に、NISTは脆弱性分析エコシステムにおける自らの役割を再考している。同機関は、この見直しを導くための戦略と実施計画を公表する意向であり、トランプ政権から採用権限を得次第、このプロセスを主導するプログラムマネージャーを採用する。
見直しの一環として、NISTはパートナー(他の政府機関、民間企業、独立研究者)と連携し、彼らがNVDをどのように利用しているのか、またNVDにどのような情報提供を求めているのかを把握する。
「私たちがCVEに付加している多くの情報は、これまでやってきたことですが、それが本当に有用なのかを実は理解できていません」とボーエンズ氏は述べた。
同氏によれば、この見直しでは「より広いコミュニティが何を必要としているのかを把握し、そのうえでNISTがそのエコシステムの中でどこに位置付くのかを見極める」ことになる。
NISTの目標は、脆弱性エンリッチメントの作業を、CVEを検証し一意の識別子を割り当てるCVE採番機関(CNA)へ移管することだ。しかしそれが実現する前に、CNAがどのようにエンリッチメントを行うべきかについてのガイダンスをNISTが作成する必要があると、ボーエンズ氏は述べた。
NISTが最終的にその作業をCNAへ移管するとき、それは同機関にとって「大きなリセット」になるとボーエンズ氏は述べた。NISTは20年以上にわたり脆弱性データを分析してきた。NVDプログラムは、運用プロジェクトよりも研究や標準策定活動が中心であるNISTのサイバーセキュリティ・ポートフォリオの中で、常に異色の存在だった。
「私たちの基盤は研究、開発、そして(技術の)適用をより広い市場へ展開していくことです」とボーエンズ氏は述べた。「運用面は、非常にコストがかかり、私たちの守備範囲の外だと分かりました」
「NISTの中核機能に立ち返りたいのです」と同氏は付け加えた。
協力か競争か?
木曜日の会合では、諮問委員会のメンバーが、CVEプログラムが崩壊しかけたことを受けて立ち上がった他の脆弱性分析プロジェクトについて、ボーエンズ氏に質問した。
CVEデータベースに資金提供しているCISAは、独自のコミットメントを示そうとして、「Vulnrichment」プロジェクトを立ち上げた。しかしボーエンズ氏はその取り組みに懐疑的な姿勢を示し、委員会メンバーに対して「(NVDの)バックログの解決策だとは思いません。重複した取り組みがあることが分かったと思います」と語った。NISTとCISAの職員は、今後数日以内に会合を開き、「よりよい調整」を行う予定だと同氏は付け加えた。
ボーエンズ氏はまた、米国資金によるシステムへの懸念を受けて立ち上げられた新たな欧州の脆弱性データベース、グローバルCVE割り当てシステム(GCVE)についても懸念を表明した。NISTはGCVEの運営者と会い、「コミュニティ全体でプロセスが分断(バルカン化)されないようにする」つもりだと、ボーエンズ氏は述べた。
一方で、商務省の監察総監は、バックログに関する懸念を受けて引き続きNVDの監査を行っている。ボーエンズ氏は、この監査が「私たちの時間をかなり取っている」としつつも、「まもなく結論が出る」ことに期待を示した。
翻訳元: https://www.cybersecuritydive.com/news/nist-cve-vulnerability-analysis-nvd-review/810300/
