内部の混乱と増え続ける脆弱性バックログに彩られた激動の1年を経て、米国国立標準技術研究所(NIST)内の国家脆弱性データベース(NVD)チームは、ようやく安定を取り戻した。
しかしNVDは今、新たな課題に直面している。脆弱性報告の急増によりバックログが急拡大し、チームが立て直した取り組みを上回る勢いとなっている。
NVDプログラムマネージャーのタニヤ・ブリュワー氏と、NISTコンピュータセキュリティ部門(Computer Security Division)部門長のマシュー・ショール氏は、ノースカロライナ州ローリーで開催された脆弱性管理に特化したイベント「VulnCon」の最終日である4月10日に、NVDの最新アップデートの一部を共有した。
両氏は、NVDにおける脆弱性処理方法の複数の改善を発表するとともに、バックログに追いつくための新戦略に取り組んでいると述べた。これには、より多くのデータ分析タスクの自動化や、支援のためのAI活用手法の検討が含まれる。
NVD、人員問題を克服しCVE処理を強化
2024年初頭にNVDの業務を支えていた契約が終了したことに起因する1年にわたる内部問題を経て、NVDに脆弱性(CVE)を追加し拡充する担当チームは現在、フルスピードで稼働しているとブリュワー氏は発表した。
2024年6月、NISTは脆弱性バックログ解消を支援するため、外部コンサルティング会社との商用契約を延長した。
「(その後)以前の契約終了により前のチームが離れざるを得なかったため、まったく新しいチームを受け入れて立ち上げる長い期間があり、産休に入る人が出たり、ほかにも課題がありました。しかし今では、つまずく前よりも作業ペースを上回っています」とブリュワー氏は述べた。
ブリュワー氏の発言を裏付ける形でVulnConの聴衆に示されたグラフでは、2024年3月から5月にかけて処理されたCVEがほぼゼロであったことが示された。2024年5月と6月の月間処理件数も2000件を大きく下回っていた。
しかし、NVDチームによるCVE処理は8月から再び増加し、月間2000〜3000件の処理ペースを示した。これは2024年3月以前の水準と同程度である。
2025年には、NVDチームはさらに高い処理ペースを示し、月あたり約3000件のCVEを処理した。
VulnConのセッション後にInfosecurityの取材に応じたショール氏は、「まったく新しいチームはすでに受け入れと訓練を終え、現在は稼働しており、私たちが“フル体制のチーム”と呼ぶ状態に戻っています」と確認した。
現在NVDチームで何人が働いているかは明らかにしなかったものの、チームには次が含まれると述べた。
- データ拡充に取り組むアナリストのフルセット
- データ収集および分析プロセスを支える開発者のフルセット
- 標準の細部やガバナンスを支援する新たな人員
さらにショール氏は、VulnConのセッション中にトランプ政権が米連邦政府機関全体でより効率的に業務を進めようとしている意向に言及しつつも、Infosecurityに対し、NVDチームは将来的な削減を懸念していないと語った。
「NISTから、NVDは優先事項であり、同庁はNVDプログラムがそれに見合う形でリソースを確保することを保証すると伝えられています」と付け加えた。
NVD、コンソーシアム計画を撤回
ブリュワー氏とショール氏はまた、2024年3月のアップデートで言及されていた、共同研究開発協定(CRADA)を通じてNVDを支援するコンソーシアムの設立が、事務作業が多すぎて煩雑で「労力がかかりすぎる」と判断されたため取り下げられたことも確認した。
NVDは代わりに、非公式なチャネルを通じて脆弱性管理コミュニティおよび民間セクターとの関与を優先する。
NVDの脆弱性バックログは増加し続ける
NVDチームの再建に向けたこれらの取り組みにもかかわらず、ブリュワー氏は脆弱性バックログが急速なペースで増え続けていることを認めた。
前述のチャートはまた、2025年3月時点でNVDの未処理CVEが2万5000件に達し、2024年8月の約1万7000件から増加したことを示していた。毎月より多くのCVEを分析しようとする努力や、2024年3月のNVD運用停止以降の改善にもかかわらず、脆弱性バックログは増え続けている。
主因はCVE報告の爆発的増加で、NVDは2024年のCVE提出件数が32%増加したことを確認している。
さらに、Ciscoのプリンシパルエンジニアであるジェリー・ギャンブリン氏の最近のレポートでは、2025年3月のCVE公開件数が前年同月比で48%増加したと推計されている。
「私たちの処理ペースは、流入する提出件数に追いつくのに十分ではなくなりました。その結果、バックログは依然として増え続けています」とブリュワー氏は述べた。
脆弱性バックログ解消に向けたNVDの継続的な取り組み
2018年以前のCVEは優先対象外に
NVDは、増え続ける脆弱性バックログに追いつくためにさまざまな戦略を採用してきた。
4月2日のアップデートでNVDは、公開日が2018/01/01より前で、さらなる拡充(エンリッチメント)を待っているすべてのCVEについて、NVDデータセット内で「Deferred(保留)」としてマークすると発表した。
これは、CVEが古いことを理由に、NVDチームが拡充データの更新を優先しなくなることを意味する。
アップデートには「これらのCVEレコードに提供されているメタデータの更新要請については、引き続き受け付け、レビューします」とある。
「新たな情報により、当該CVEの拡充データを更新することが適切であると明確に示される場合、時間とリソースが許す範囲で引き続きそれらの要請を優先します。加えて、既知の悪用された脆弱性(KEV)に追加されたCVEについては、ステータスにかかわらず優先します。」
Infosecurityの取材に対しブリュワー氏は、2018年以前のCVEに関する要請の多くは、リンクの修正や、CVEエントリ内でリンクをある場所から別の場所へ移すといった軽微な変更であると明確にした。
「正直なところ、7年以上前のCVEについて追加の拡充を行うのは現実的ではありません。影響を受ける製品の多くはすでに市場から消えているため、私たちにとって大きなリソースの消耗であり、見返りは非常に小さいのです」と同氏は述べた。
ギャップ埋め戦略
2018年以降の既存CVEについて、ブリュワー氏は、NVDチームが従来のCVE拡充アプローチに代えて、当面はギャップ埋め戦略を採用すると確認した。
これは、NVDのアナリストが、各CVEをゼロから拡充するのではなく、利用可能な場合はCVE採番機関(CNA)から提供される拡充データの追加を優先することを意味する。
ブリュワー氏はInfosecurityに対し、この戦略は公式には一時的なものだが、恒久化する可能性もあると語った。
「ただし、多くのCVEレコードが不完全であったり、不整合だらけであることも認識しています。そのため1年後には、CNAから来る追加対象のCVEレコードの品質が十分だと判断するかもしれませんし、従来のCVE処理戦略に戻すことを選ぶかもしれません」と同氏は述べた。
AIを活用したCPEデータ自動化を検討
この新戦略を支えるため、NVDチームの一員でCVEプログラムのボードメンバーでもあるクリス・ターナー氏は、共通プラットフォーム一覧(CPE)データの自動化ツールを構築している。
CPEデータは、アプリケーション、ソフトウェア、オペレーティングシステム(OS)、ハードウェアなどのIT製品を識別・記述するための標準化された方法であり、脆弱性管理の専門家に広く利用されている。
Infosecurityに対しブリュワー氏は次のように説明した。「このツールはCVEリストのデータを使い、CVEレコード向けのCPEデータを自動生成するプロセスを開始します。」
このツールは、データの識別、収集、処理に機械学習アルゴリズムを利用する可能性がある。
さらにNVDはCPEコンソールの全面刷新にも取り組んでおり、将来的にはすべてのCNAに提供する可能性がある。
LinuxカーネルCVEデータ処理の自動化
過去1年半に追加されたCVEの多くがLinuxカーネルCVEであることに気づいたNVDは、これらの要請に関するデータ収集と処理を自動化するAI活用ツールを検討するため、概念実証(PoC)にも取り組むことを決めた。
「これらのエントリは、機械学習による分析やパースができるような形で記入され、フォーマットされています」とブリュワー氏はInfosecurityに語った。
こうした自動化タスクには、例えば各LinuxカーネルCVEに対して、関連する共通脆弱性タイプ一覧(CWE)エントリや共通脆弱性評価システム(CVSS)を選定することなどが含まれ得る。
最後にブリュワー氏は、内部および外部の追加改善として、次を共有した。
- 内部の脆弱性コンソールの刷新
- CNAおよび認定データ発行者(ADP)で検索できるようにしたNVD検索エンジンの更新
- NVD脆弱性アプリケーション・プログラマブル・インターフェース(API)の刷新
- NIST脆弱性データ・オントロジー(Vulntology)の更新。脆弱性に関する知識の形式的表現であり、脆弱性データを記述・分析するための構造化フレームワークを提供する。
脆弱性の専門家、「より多くの質問に答える機会を逃した」と嘆く
脆弱性コミュニティの多くの専門家は、NVDの透明性の欠如と、公的なコミュニケーションの頻度の低さについて不満を述べてきた。
VulnConのセッションはいくつかの疑問に答えたものの、Jerichoブログの著者で脆弱性の監視役でもあるブライアン・マーティン氏や、FlexeraでSecurity Solutions Salesを務めるイェルーン・ブラーフ氏など、脆弱性管理コミュニティのメンバーは、セッションが30分しかなかったことに不満を示した。
「彼らは30分のセッションをやりましたが、1時間分の質問が出ることは分かっていたはずです」とマーティン氏はInfosecurityに語った。
「正当な懸念を提起し、回答を待ってきたコミュニティにとって、これは機会損失のように感じます」とブラーフ氏はLinkedInの投稿で述べた。
この批判に応じてショール氏はInfosecurityに対し、「誰でもいつでも私たちに連絡できます。私たちはコミュニティと頻繁に話していますが、コミュニティは大きいので、VulnConのような会議や私たち自身のイベントなどで、規模をもって対応しようとしています。いら立ちを感じる人がいるのは理解できますし、1対1では十分にやっていないと感じるかもしれません」と語った。
「時には意見が合わず、合意形成を一緒に進める必要があることもありますが、関与して話したいと来る人を私たちが追い返すことは決してありません」と付け加えた。
今後の道筋は? 脆弱性データソースの多様化
3月19日および4月2日のNVDの前回アップデート以降、脆弱性コミュニティでは、NVDで問題が続くことを踏まえ、CVEデータソースの多様化が必要だという声が強まっている。
4月4日、ソフトウェアサプライチェーンセキュリティ企業Socketのコンテンツマーケティング責任者サラ・グッディング氏は投稿で、セキュリティチームに対し、CVE.org、ベンダーアドバイザリ、CISA KEV、OSV.dev、ExploitDBなど、他のソースでフィードを多様化することを推奨した。
これに対しショール氏は、「組織が複数の場所やソースを見るようになり、より多くの人がコミュニティの他者が基盤として利用し知識を拡張できるよう、より多くの脆弱性データを提供し始めるのであれば、それは実際には悪いことではないかもしれません」と応じた。
翻訳元: https://www.infosecurity-magazine.com/news/nvd-revamps-operations-cve-surge/
