同庁の主要な担当者は、脆弱性管理プログラムが今後も継続され、さらなる参加と強化が行われると述べました。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、コンピュータシステムを悪用から守るためのソフトウェアの脆弱性を特定・緩和する重要なプログラムである「共通脆弱性識別子(CVE)」プログラムの支援とさらなる強化に引き続き強く取り組んでいくと述べました。
CISAの新しいサイバーセキュリティ担当副局長であるニック・アンダーセン氏は、ワシントンD.C.で開催されたビリントン・サイバーセキュリティ・サミットでの木曜日の討論の中で、CVEプログラムへの強い支持を表明しました。
CISAは水曜日、CVEプログラムの優先事項を示したロードマップを発表し、プログラムのさらなる発展と、強固な資金調達およびより広範な参加のための計画を策定する意向を明らかにしました。
アンダーセン氏はプレゼンテーション後、CISAがこのプログラムを成長・拡大できることが「非常に重要」だと記者団に語りました。
「私たちが一貫して受けているフィードバックは、人々が客観的に判断してくれる存在を求めているということです」とアンダーセン氏は述べました。
このプログラムの重要な側面の一つは、セキュリティチームが自らのシステムをハッキングから守るために、修正や対策が必要な脆弱なソフトウェアを特定し、優先順位をつけることです。
ロードマップで示された優先事項には、国際的なパートナー、オープンソースの専門家、セキュリティ研究者などを含む、プログラムに参加するコミュニティメンバーの拡大が含まれています。
さらに、追加の資金源の開発についても議論が進められています。
Mitre社は、CVEプログラムを「重要なグローバルリソース」として引き続き支援していくと、広報担当者が述べました。
「私たちは、CISAおよびCVEの多くのパートナーへの支援を継続し、このビジョンの実現を支援できることを楽しみにしています。これにより、CVEは今後も成功を続けていくための強固な基盤を築くことができるでしょう」と、広報担当者はCybersecurity Diveにメールで語りました。
Mitreが既存の資金が今年初めに期限切れになると警告したことを受け、ここ数か月、CVEプログラムの資金調達が大きな懸念事項となっていました。プログラムの将来が不透明になる中、資金は2026年初頭まで延長されることで合意されましたが、業界全体でこの懸念に対処するための議論が数か月にわたり続いています。
最新情報をチェック。Cybersecurity Diveの無料デイリーニュースレターにご登録ください。
「CISAが資金提供へのコミットメントを示している一方で、4月に土壇場で実施された11か月の延長以降、今後の資金提供に関する進展や透明性は見られていません」と、Vulncheckの上級研究員パトリック・ギャリティ氏はCybersecurity Diveに語りました。