EU(欧州連合)のサイバーセキュリティ機関であるENISAは、米国が資金援助する共通脆弱性と曝露(CVE)プログラムとの連携を強化しており、同機関のトップが発表しました。
4月14日にアリゾナ州スコッツデールで開催されたVulnCon26のオープニングキーノートで講演するよう招待されたENISAのインシデント・脆弱性サービス部門の責任者ヌーノ・ロドリゲス・カルヴァーリョは、同機関がプログラムの唯一のスポンサーであるアメリカサイバーセキュリティ・インフラセキュリティ庁(CISA)によってトップレベルルートCVE Numbering Authority(TL-Root CNA)になるためのオンボーディングが現在進行中であることを明かしました。
セッション後にInfosecurityとの対談で、カルヴァーリョはヨーロッパの機関がこのステータスを「2026年または2027年初頭に」取得できることを望んでいると述べました。
CNA、Root CNA、TL-Root CNAの説明
現在、TL-Root CNAステータスを保有しているのは2つの機関のみです:プログラムのスポンサーであるCISAと、プログラムを運営する米国資金の非営利団体MITREです。
ENISAは2024年にCVE Numbering Authority(CNA)(脆弱性にCVE IDを割り当てることが認可された組織)になりました。その後2025年に、特定のドメインまたは地域内の複数のCNAを監督・調整し、新しいCNAをオンボードし、紛争を解決するRoot CNAになりました。
TL-Root CNAのステータスにより、ENISAはCISAとMITREと並んでCVEプログラム全体を管理し、グローバルポリシーを設定し、すべてのRoot CNAsとCNAs全体の一貫性を確保する責任を持つトップレベルの権限になります。
Infosecurityとの対談で、ENISAのカルヴァーリョのチームでCNAサービス実装に従事する責任ある情報開示とCSIRT協力の専門家ヨハネス・カスパー・クロスは、CVEプログラムにおけるこの機関の将来の拡大された役割は、単に運用上の影響力の向上だけでなく、政策および行政的意思決定においても強化された権力を目指していると述べました。
「Root CNAとして、私たちはより大きな運用上のフットプリントを持つことになります。MITREの代わりにヨーロッパで新しいCNAsをオンボードし、プログラムを形成し、運用化を支援し、課題に対処し、プログラムのルールを適切に採用し、MITREをサポートするRoots Councilに代表として参加できるようになります」と彼は説明しました。
「現在、TL-Root CNAとして、現在ヨーロッパの代表がいないCVEプログラムのボードに代表として参加することになります。CVEプログラムが花開き、成長することを支援し、ヨーロッパのビジョンを共有したいと考えています。」
ENISA の優先事項:EU国家CSIRTsをCNAsとしてオンボード
3番目のTL-Root CNAとしてのENISAのオンボーディングは、CVEプログラムのより広範な多様化と国際化戦略と一致しています。
現在、CVEプログラムは502のCNAsを有しており、そのうちヨーロッパベースの組織はわずか83です。
カルヴァーリョはInfosecurityに対し、ヨーロッパはプログラムで「過少代表」されていないと言うつもりはないと述べながらも、「もう少し多くの」ヨーロッパのCNAsがあるべきだと述べました。
「ヨーロッパ市場は米国市場ほど大きくないことは知っていますが、EUからのより多くの代表者がいればと思っています」と彼は付け加えました。
VulnConでのスピーチ中に、カルヴァーリョはENISAが既に新しいCNAsをオンボードしており、同機関の優先事項は「ヨーロッパのすべての国家コンピューター緊急対応チーム(CERTs)およびコンピューターセキュリティインシデント対応チーム(CSIRTs)」を審査してCNAsになることを目指していることを述べました。
ENISAの脆弱性部門が採用活動を実施中
カルヴァーリョとクロスの両者は、ENISAをCVEプログラムにより深く関与させるよう推し進めた動きはEU加盟国から来たものだと述べました。
クロスは、報告される脆弱性の量と複雑性が増加していることから、より多くの関係者がプログラムに参加する必要があると付け加えました。特に、OpenAIやAnthropicなどのAI企業が、サイバーセキュリティの脆弱性を自動的に大規模で発見・修正することを約束するモデルを発表した今はなおさらです。
「製品企業や国家レベルのCERTsおよびCSIRTsから研究者や脆弱性発見者まで、多様なサイバーセキュリティ実務家を含める必要があります」とクロスは述べました。
カルヴァーリョはまた、CVEプログラムへのより深い関与を目指すことはしばらく前からENISAの目標であったが、「プログラムのボード上でEUの利益を適切に代表するためにサービスとチームを成熟させ」る必要があったと説明しました。
「課題は常に目の前にありましたが、決して取り上げられることはありませんでした。ソフトウェア脆弱性についての懸念が今ほど大きくなるまでは」とクロスはInfosecurityに語りました。
「私たちは非常に小さなチームです。そのため、これを実現するには、国家CERTsおよびCSIRTsのオンボーディングを含む様々なタスクでCVEプログラムに従事し、支援する臨界規模の人員が必要です。実際、私たちは拡大し、採用活動を行っています。ENISAのウェブサイトで求人情報を見つけることができます」とカルヴァーリョは付け加えました。
さらに、カルヴァーリョとクロスの両者は、TL-Root CNAのオンボーディングプロセスは「未知の領域」であることに同意しました。CISAとMITREはプログラム開始から同プログラムを運用してきており、これまで誰もこのステータスが付与されたことがないためです。
「これは全面的には私たちの力だけではありませんが、ENISAが2026年または2027年初頭にTL-Root CNAになることを望んでいます。このタイムラインを実現するために最善を尽くします」とカルヴァーリョは締めくくりました。
翻訳元: https://www.infosecurity-magazine.com/news/enisa-europe-seeks-top-level-root/
