米国サイバーセキュリティ庁(CISA)は、拡大したパートナーシップ、政府の支援、透明性、近代化、そしてより良い脆弱性データの品質が、共通脆弱性識別子(CVE)プログラムを推進する次のステップであると考えています。
CVEプログラムは、公開されたセキュリティ欠陥の特定、定義、インデックス化を目的としており、昨年25周年を迎えました。その際、CVE番号付与機関(CNA)の数は400を超え、新たに28,000件以上のCVEレコードが作成されました。
CNAの数は2025年時点で460を超えており、CISAによれば、CVEプログラムは過去10年間の成長期を経て、新たな段階へ移行する準備が整ったとしています。
「CVEプログラムが世界的なサイバーセキュリティコミュニティのニーズに応えるため進化する中で、何よりも信頼性、迅速な対応、脆弱性データの品質に重点を置いた新たな時代へ移行しなければなりません」と、CISAはプログラムの将来ビジョンを示す新たな文書(PDF)で述べています。
同庁によれば、CVEプログラムは最も「持続的かつ信頼されるサイバーセキュリティの公共財」の一つであり、「利害対立のないベンダーニュートラルな運営、幅広い多部門の関与、透明なプロセス、責任あるリーダーシップ」を通じて、その価値を維持しなければなりません。
同プログラムは、民間化されるべきではなく、下流の利用者に対して透明性を促進し、CVEデータが無料かつオープンにアクセス可能であることを保証すべきだとしています。
「この原則は協調的なサイバー防御を支え、セキュリティツールのイノベーションを可能にし、世界中の産業界や政府の防御者を力づけます。CVEプログラムの運営はこれを反映し、グローバルな参加による公共財として管理されなければなりません」とCISAは述べています。
CVEの今後の優先事項には、より多様で国際的なコミュニティパートナーシップ、政府機関(主にCISA)からの継続的な投資、オートメーションなどによるCVEインフラの近代化、可視性・迅速性・データ拡充の改善が含まれます。
広告。スクロールして続きを読む。
同庁はまた、CVEレコード品質の最低基準の実装や、拡充をスケールさせるための仕組みの開発にも注力し、脆弱性データの品質向上とCVEスキーマの改善を目指します。
「この戦略的ビジョンにより、CISAはリーダーシップの役割を再確認し、CVEプログラムの近代化の機会を捉え、グローバルなサイバーセキュリティ防御の礎として確立します。世界のサイバーセキュリティコミュニティと連携し、CISAは統治が行き届き、信頼され、迅速に対応するCVEプログラムの提供に取り組み、脆弱性データの品質と世界的なサイバーセキュリティの強靭性向上を目指します」と、CISAのサイバーセキュリティ担当副長官ニック・アンダーセン氏は述べています。
これは、NISTのNational Vulnerability Database(NVD)が依然として重大かつ増大する脆弱性申請の滞留に対応している中での発表です。
関連記事: 量子サイバーセキュリティ移行の国家戦略策定を目指す法案
関連記事: 上院議員、マイクロソフトのセキュリティ失敗でFTC調査を要請
関連記事: 暗号化メッセージアプリはプライバシーを約束するが、政府の透明性が代償となることも
関連記事: 英国、暗殺未遂に関与したロシア人ハッカーに制裁
翻訳元: https://www.securityweek.com/cisa-cve-program-to-focus-on-vulnerability-data-quality/