昨年、グローバル脆弱性追跡システムをほぼ閉鎖しかけた資金危機は静かに解決され、サイバーセキュリティエコシステムの基本的な部分への別の急激な中断への懸念を払拭した。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)とMITRE Corporationは、26年歴の脆弱性と露出(CVE)プログラムを支援する契約を再交渉し、2025年にセキュリティコミュニティに恐慌をもたらした迫り来る期限切れを排除する方法で合意した。
情報筋によると、このプログラムは裁量的な資金項目から CISA の予算内の保護された独立予算項目に移行したと見られ、この構造的変化は昨年システムを脅かしたような劇的な危機を防止する可能性がある。
2025年、世界中の脆弱性管理ツール、脅威インテリジェンスプラットフォーム、パッチ管理システムを支える脆弱性プログラムは、およそ1日間、急激なシャットダウンへ向かっているように見えた。MITRE が米国国土安全保障省(DHS)との契約がこのプログラムの運用が更新なしで期限切れになることを開示したとき、サイバーセキュリティ業界は不意を突かれた。
CISA は最終的に最後の瞬間に介入し、システムを稼働させ続けるための緊急11ヶ月の契約延長を発行したが、グローバルセキュリティコミュニティは今春別の資金の崖に向けて身構える状態にしておいた。
ほぼ1年後、その応急措置は情報筋によればより耐久性のある取り決めに置き換えられた。CVE ボードは2026年1月21日の会議中に、3月に「資金の崖がない」ことと「継続的な操業と計画がその時間枠をはるかに超えて延長される」ことを通知され、後に公開された会議議事録によると、その旨を通知された。
声明では、米国 CISA の代理局長兼副局長である Nick Andersen は、CSO に対して「CISA のリーダーシップとスポンサーシップの下で、CVE プログラムは完全に資金提供されており、グローバルな脆弱性エコシステムをサポートするために継続的に進化し、近代化されている」と述べた。MITRE のスポークスマンである Jordan Graham は、「MITRE は CISA をサポートする際に、CVE に対するコミットメントがあり、重要なグローバルリソースとして機能している」と述べた。
後付けから保護されたプログラムへ
長年の脆弱性の開示提唱者にとって、最も重要なシフトは更新自体ではなく、資金がどのように構成されるかの方法かもしれない。
CVE ボードメンバーで、ベテランのサイバーセキュリティプロフェッショナルで、CVE Foundation の共同設立者である Pete Allor は、このプログラムは歴史的に CISA の予算内の残された基金と競合していたと述べた。
「私が理解しているところでは変わったことは、『あのうー、残ったもの全てのうち、他のいくつかのことと一緒に CVE プログラムに資金を与えることができるかな?』から、その線の上に — それは資金を供与されるだろう、ということである」と Allor は述べた。「それは巨大な変化だ。」
実際的な観点から、そのシフトは脆弱性カタログプログラムを、競合する優先事項によってしぼられる可能性のある裁量項目から、中核的な運用プログラムに昇格させているようだ。
改善された資金見通しはまた、昨年の不確実性中に代替ガバナンスモデルを探索するために作成された CVE Foundation を、次のステップを再評価するよう促した。「馬を地面に押し付けることをなぜ苦労させるのか、もし私がそれを手綱で使うことができるなら?」と Allor は述べた。
透明性の問題は残る
明らかな資金の安定性にもかかわらず、契約自体は CVE ボードのメンバーにとってでさえ、ほぼ不透明なままである。
CISA と MITRE との職業的な関係を保つために匿名性を要求した CVE プログラムの関係者は、この取り決めは安心させるが透明性が不足していると述べた。
「それは謎の契約で、謎の数字を持ち、合意され、渡されたものだ」と情報源は述べた。「良いニュースは人々は心配する必要がないということだ。しかし、彼らが心配する必要がなくなった今、それは難しい質問をする時である。」
これらの質問には、プログラムがどのように近代化されるか、そのパフォーマンスがどのように測定されるか、そしてそのガバナンス構造が進化すべきかどうかが含まれている。
CSO への声明で、CISA の Andersen は、「CISA はグローバルなサイバーセキュリティコミュニティと協力して、データ品質の強化、インフラストラクチャとサービスの現代化、より多様な代表性を持つガバナンスプロセスの改善など、他の多くの努力の行を含むことにコミットしています」と述べた。
1人の CVE ボードメンバーは、連続する会議で MITRE-CISA 契約へのアクセスを繰り返し要求している、と議論に詳しい人々によると述べた。MITRE は、これらの要求を、2つの組織間の契約に関する法的保護を理由に拒否している。契約に対する別の情報自由法要求も未回答のままである。
「あなたが公の善と大きな善のためにそれをやっていると言っているなら、それは善をどのように測定しているかを言う責任がある」と Allor は述べた。「それは公開された質問であり、秘密にされることはできない。」
CVE ボード自体は、最近数年間で 24 人のメンバーに拡張されており、主にアドバイザリー機関として機能しているが、MITRE はプログラム操業に対する最終的な意思決定権を保持している。
グローバルな選択肢が出現し始める
昨年の CVE プログラムのほぼ崩壊は、サイバーセキュリティエコシステム全体で偶発的計画の波をトリガーした。
CVE Foundation は、単一の米国政府資金源への依存を減らすガバナンスモデルを探索し始めた。同時に、欧州連合のサイバーセキュリティ機関は、独自の脆弱性識別フレームワークを開発し始め、その後起動した。
ENISA のスポークスマンは、エージェンシーが CVE エコシステムへのコミットメントを残していると述べたが、プログラムの資金調整への見通しを持たない。「ENISA は CVE プログラムの一部であり、グローバルな CVE コミュニティへの貢献とコーディネートされた脆弱性管理のサポートへのコミットメントを残しています」とエージェンシーは声明で述べた。
民間部門組織も潜在的な中断に対して避けるためのステップを講じた。脆弱性インテリジェンス企業である VulnCheck は、例えば、CVE 識別子のブロック予約を数字付けシステムがぐらついた場合の継続性を保証する。
資金の恐れが解決されてさえも、これらの努力は消える可能性が低い。ガバナンスと長期的な独立に関する構造的懸念は、補完的または代替的なシステムへの関心を駆動し続けている。
特に一部のヨーロッパのステークホルダーは、グローバルなサイバーセキュリティインフラストラクチャの重大な部分が単一の米国政府契約に依存している可能性について心配したままである。
「米国が資金を供給している政府のものに直接彼らの技術データを指摘したくないいくつかのヨーロッパの人々がいます」と CVE プログラムに精通した情報源は述べた。EU のCyber Resilience Act を修正して、CVE ではなく ENISA によって管理される識別子を参照するかもしれないことについての議論が報告されている。
Allor は、彼は CISA がこれらの懸念に応えて来たる数ヶ月でプログラムの周りの国際的関与を拡大することを期待していると述べた。「私は EU 内のいくつかの国があり、EU 外のはっきりしている少なくとも3つの国がそれについて文句を言っているのを知っています」と彼は述べた。「私は CISA のフォークがそれを大声で聞いたと思う。」
昨年9月、CISA は CVE プログラムの「ビジョン」の概要を述べ、国際的なパートナーシップを強化し、米国外の政府と組織の代表性を改善することを誓約しました — 昨年の恐れの後の更新されたコミットメントの信号。
業界が忘れない警告
差し迫った資金危機が薄れるとしても、CISA の周りの制度的環境は不安定なままである。このエージェンシーは予算削減、リーダーシップターンオーバー、およびスタッフ削減に直面しており、上院が確認した1年以上ディレクターがいない状態である。
しかし、今のところ、サイバーセキュリティ業界の共通言語として機能する脆弱性カタログは資金が提供され、運用されている。
しかし、昨年のイベントは、グローバルセキュリティエコシステムがいかに単一の米国政府契約に依存しているかを明らかにし、そのような重要なインフラストラクチャのガバナンスと資金調達がより透明で、より国際的で、より脆弱であるべきかどうかについてのより広い議論を刺激した。
