セキュリティ脆弱性の分析を担当する連邦機関は、毎年増加する欠陥の殺到に対応するのに苦労しており、圧倒されています。米国国立標準技術研究所(NIST)は水曜日に、この大量の流入に屈服し、その優先順位を縮小したことを発表しました。国立脆弱性データベース(NVD)の範囲を絞ることになります。
NISTは、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の悪用済み脆弱性カタログに掲載されているCVE、連邦政府で使用されているソフトウェア、および大統領令14028で定義される重要なソフトウェアのみを分析の優先対象とすると述べました。
連邦機関がこの変更を行うことの目標は、長期的な持続可能性を達成し、NVDプログラムを安定させることです。このプログラムは以前の課題に直面していました。特に2024年初頭の資金不足により、NISTはデータベース内の多くの脆弱性の主要なメタデータの提供を一時的に停止することを余儀なくされました。
連邦機関はこの一時停止中に蓄積され、その後さらに増加した、未処理のCVEの逆行処理を今でも完了していません。
NISTは昨年ほぼ42,000の脆弱性を分析したと述べ、2020年から2025年にかけてCVE提出が263%急増したことを付け加えました。「このトレンドが今後すぐに緩和されるとは予想していません。2026年の最初の3か月の提出数は、昨年の同時期比で約3分の1増加しています」と、この変更を発表するブログ投稿で機関は述べました。
確かに、脆弱性は全般的に増加しています。例えば、マイクロソフトは火曜日に165の脆弱性に対処し、記録上2番目に大きい月間パッチセットとなりました。
NISTは、より狭い基準に適合しないCVEは依然としてNVDにリストされますが、追加情報で自動的に充実させられることはないと述べました。
「これにより、最大の広範な影響の可能性を持つCVEに焦点を当てることができます」と機関は述べました。「これらの基準を満たさないCVEは、影響を受けるシステムに重大な影響を与える可能性がありますが、一般的には優先カテゴリのものと同じレベルのシステミックリスクを示しません。」
CVE番号付与機関(CNA)向けの脆弱性を分析する研究者と脅威ハンター、および独自の評価を公開するベンダーは、NISTの新しいアプローチを避けられないものと見ています。
「彼らは何かをする必要がありました。NISTはCVEの分類に大きく遅れており、おそらく追いつくことはできませんでした」と、Trend Microのゼロデイイニシアティブの脅威認識主任であるダスティン・チャイルズはサイバースープに語りました。
「それが本当に困難な作業なのか、それともシジフォスの運命のような作業なのかはわかりませんが、いずれにせよ、彼らは以前のシステムの下で失敗するように設定されていました。この変更により、彼らは自分たちの作業を優先順位付けすることができます」と彼は付け加えました。
NISTの新しいアプローチは脆弱性研究コミュニティ全体に影響を与えますが、また民間企業と組織をより多くの権限を獲得する立場に置くことにもなります。防御側はより多くの代替ソースを求めています。
VulnCheckのセキュリティ研究担当副社長であるケイトリン・コンドンは、以前サイバースープに優先順位付けが依然として問題であり、あまりにも多くの防御側が彼らの時間に値しない脆弱性に注目していると述べました。
VulnCheckが昨年カタログ化した40,000を超える新しく公開された脆弱性のうち、それらの欠陥のわずか1%、つまり422件のみが野生で悪用されていました。
NISTはまた、その新しいアプローチでCNAをさらに活用することで、他の重複した取り組みを削減しようとしています。深刻度評価で提出されたCVEは、今後、NISTから個別のCVSSスコアを受け取ることはないと機関は述べました。
機関は脆弱性評価の政府支援カタログを提供する最終的な権限のままですが、これらの変更がユーザーに影響を与えることを認めています。
「このリスク・ベースのアプローチは、CVE提出の現在の急増を管理し、NVDコミュニティのニーズとの取り組みを調整するために必要です」と機関は述べました。「NVDを今日の課題に対応させることで、データベースがサイバーセキュリティ脆弱性に関する情報の信頼性があり、持続可能で公開されているソースのままであることを確認できます。」
翻訳元: https://cyberscoop.com/nist-narrows-cve-analysis-nvd/
