出典:Alamy Stock Photo(Cagkan Sayin)
MITREが運営する共通脆弱性識別子(CVE)プログラムの将来をめぐる不確実性が続く中、欧州のサイバーセキュリティ組織が、ソフトウェアのセキュリティ脆弱性を特定するためのグローバルCVE割り当てシステム(GCVE)を立ち上げた。専門家は、組織がセキュリティ上の欠陥を追跡・管理する方法に大きな分断が生じると見ている。
既存のCVEプログラムは2025年に浮き沈みを経験した。昨年4月には政府の資金提供がほぼ停止し、プログラムの全面停止を余儀なくされるところだった。サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)とMITREの間で土壇場の契約延長が行われ、CVEプログラムは救われたが、その契約は今年3月に期限を迎える。
CVEの資金の先行きが依然として不透明な中、さまざまな組織が競合するモデルの構築を試みてきた。欧州連合(EU)のGCVEは、同サイトによれば「参加主体の柔軟性、拡張性、自律性を高めるよう設計された」脆弱性の識別および番号付与システムだ。コンピュータ・インシデント対応センター・ルクセンブルク(CIRCL)が運用し、この取り組みは昨年4月から進められてきた。GCVEシステムはEUのサイバーセキュリティ基盤の枠組みに位置づけられ、その中にはCIRCLのvulnerability-lookup ソフトウェアに基づく欧州連合脆弱性データベースも含まれる。
GCVEは従来のCVEシステムとの互換性を保つよう設計されているが、重要な違いが1つある。それは、分散型データベースである点だ。分散化はCVEエコシステムに利点とリスクの両方をもたらす。
GCVEはCVEとどう違うのか?
EUのプログラムには、GCVE番号付与機関(GNA)が含まれる。GNAは独立した主体であり、中央機関に依存せず「自分たちのペースで」識別子を割り当てられる。公開される識別子は、セキュリティチームが脆弱性を追跡・共有し、修正するのに役立つ。GNAは脆弱性識別に関する独自の内部ポリシーを定義でき、報告される脆弱性の膨大な数 を踏まえると、プロセスの効率化につながる可能性がある。
R Street Instituteでサイバーセキュリティおよび新興脅威担当フェローを務めるハイマン・ウォン氏は、GCVEプログラムは、既存のCVEプログラムにおけるレジリエンス、持続可能性、そして単一障害点の可能性に関するより広範な懸念への対応として登場したと説明する。
「これは複数の政府や利害関係者を巻き込み、既存のセキュリティツールと統合するためのオープンAPIを提供し、既存のCVEフレームワークを全面的に置き換えるのではなく、それにマッピングして戻せるように設計された」と、ウォン氏はDark Readingに語る。
GCVEが脆弱性インテリジェンスの継続性とアクセスを有意に改善するなら、企業にとって有益になり得るとウォン氏は付け加える。サイバーセキュリティは、複数のデータベース間の不整合を突き合わせるよりも、調和し調整された「単一の真実の源」からより大きな恩恵を受け、防御側が整合性の調整ではなく修復に集中できるようになると彼女は説明する。
「理論上は、脆弱性報告における追加の相互検証が、単一のシステムが機能不全に陥ったり支援を失ったりした場合のレジリエンスや裏付けの感覚をもたらす可能性もある。しかし、複数のCVEの取り組みが、脆弱性の識別、ラベル付け、優先順位付けの方法で乖離し始めれば、その価値は急速に薄れる」とウォン氏は言う。
落とし穴は?
MITREが運営するCVEデータベースは、組織における脆弱性の追跡とスコアリングの標準化を目指しているが、滞留(バックログ)、透明性、関連性の問題にも直面している。特に、どの脆弱性が自組織に直接影響するのかを理解するのに苦労している組織が多い。残念ながら、新しいプログラムがこうした圧力を軽減するようには見えない。
ウォン氏は、GCVEがもたらす主なリスクは、その存在自体ではなく、異なるCVEの取り組みが別個または競合する権威として運用される場合に、脆弱性調整が分断される可能性だと警告する。EUが、重複や不整合な掲載を生み得るような、完全に独自の脆弱性のクラスに直面する可能性は低いと彼女は見ており、それは防御側の混乱をさらに増すだけだという。重複するCVEは運用負荷を増大させ、脆弱性データへの信頼を損なう可能性もあるとウォン氏は付け加える。
「レジリエンスを高めようとするEUの衝動は理解できるが、GCVEの最終的な有効性は、掲げた意図――グローバルな調整とアクセスの強化――を実現するのか、それとも実証段階で意図せずそれらを損なうのかにかかっている」と彼女は言う。
「分断化は、良く言っても有益ではない」
防御側はすでにノイズの多い環境で活動している。対立するCVEプログラムが生み出す分断化が、そのノイズを増やすことは一般的な懸念だ。CIRCLはGCVEを既存のCVEエコシステムと「後方互換」にするために作ったが、その運用には憂慮すべき欠落があると、Rapid7のシニア・プリンシパル・リサーチャーであるスティーブン・フューアー氏は説明する。
同氏の最大の懸念は、GCVEシステム固有の新しいGCVE識別子がCVEエコシステムで利用可能にならないことだ。
「2つの異なる脆弱性エコシステムにまたがるこの分断化は、共有ユーザーの間で重複や混乱を招く可能性がある」とフューアー氏はDark Readingに語る。
中央で強制されるポリシーの欠如は、GCVEの登場に関する2つ目の大きな懸念だ。CIRCLは分散化を米国側の対応組織との大きな違いとして位置づけ、新しいGCVE識別子を割り当てる組織は「中央で強制されるポリシーに厳密に従う」必要がないと述べた。この方針は、MITREが定義する、より硬直的でプロセス重視のCVEエコシステムと真っ向から対立しており、フューアー氏はそれを懸念している。
例えば、同じ脆弱性に対して複数の組織が別々の識別子を割り当てる可能性がある一方で、1つの識別子が複数の脆弱性に割り当てられる可能性もある。識別子が適時に公開されないことや、脆弱性報告の妥当性をめぐって組織間の紛争が解決されないことも、追加の懸念だとフューアー氏は付け加える。
目標は調整された脆弱性開示である一方、透明性は依然として課題だ。面目を保つため、あるいは法的争いを避けるために、脆弱性の開示をためらう企業もあるかもしれない。
あるいは企業間で開示のタイムラインについて意見が対立し、早期開示は悪意ある側を利すると主張する者もいる。別の者は、企業にパッチ適用のための十分な時間を与えたいと考える。
「既存のCVEエコシステムは完璧ではないが、この領域での分断化は、良く言っても有益ではない」とフューアー氏は言う。「堅牢で正確なグローバル脆弱性エコシステムを望む主体は、脆弱性情報の拡充やその他の運用改善といった、既存のCVEエコシステムの痛点を支援することを検討すべきだ。私の意見では、それこそがコミュニティ全体にとってはるかに大きな利益になる。」
翻訳元: https://www.darkreading.com/cyber-risk/gcve-raises-concerns-fragmentation-vulnerability-database
