脆弱性が多すぎて情報公開が停滞、未公開の脆弱性に注意を

報告される脆弱性の件数は増え続けるばかりだ。そのため、全世界で利用されている脆弱性データベースの更新が追い付いていない。

[Matt Kapko，Cybersecurity Dive]

　ランサムウェアをはじめとするサイバー攻撃はさまざまな脆弱（ぜいじゃく）性を突いてくる。社内のITインフラの脆弱性管理はサイバー防御では欠かせない。脆弱性管理に利用されているのが、Mitreが提供するCVE（共通脆弱性識別子）や米国立標準技術研究所（NIST）が管理するNVD（National Vulnerability Database）だ。

脆弱性の分析が追い付かない

　報告される脆弱性があまりにも多く、NVDの更新が追い付いていないという。何が起こっているのだろうか。

　脆弱性情報が増え続ける中、政府機関や組織の間で資金を共有する取り決めに変更があったことで、2024年2月中旬にNISTはNVDプログラムの活動を縮小した（注1）。サイバーセキュリティ事業を営むFlashpointの調査によると、NISTは2023年に、過去最高の3万3137件の脆弱性を報告した（注2）。

　NISTは2024年5月29日（現地時間）に情報を更新し（注3）、「NVDに登録されている膨大な脆弱性の未処理分を2024年9月末までに解消する予定だ」と述べた。

　米国が運営するWebサイトUSAspending.govによると、脆弱性情報公開が停滞していることを解決するため、NISTはメリーランド州に本拠を置くAnalygenceと86万5657ドルで契約を結んだ（注4）。契約の内容はNVDに寄せられる脆弱性の処理をサポートする目的で、サイバーセキュリティ分析と電子メールサポートをAnalygenceが実行するというものだ。Analygenceのトム・ペイトラー氏（最高執行責任者）は「業務を開始するのは2024年6月3日の週だ」と述べた。

　「AnalygenceはNISTの共通プラットフォーム列挙プロセスを利用し、共通脆弱性スコアリングシステムに従って、既存の脆弱性の未処理分を順次処理する」（ペイトラー氏）

　NISTとAnalygenceの契約は2024年12月に終了し、2025年7月までサービスを延長するオプションが含まれている。総額は約180万ドルに達する。

　NISTのリッチ・プレス氏（メディア担当ディレクター）は、2024年5月30日に「契約に基づいてスタッフが脆弱性の処理をサポートし、今後数カ月以内に以前の処理速度に戻すことができるだろう。しかし、これだけでは2024年2月以降に蓄積された未処理分を解消することはできない」と述べた。

CVEとNVDは何が違うのか

　脆弱性に関するデータベースは2つある。CVEとNVDだ。どこが違うのだろうか。

　CVEは共通の識別子システムを提供し、NVDはCVEに関する詳細な情報を含む中央リポジトリとして機能する。CVEは脆弱性の識別に重点を置いており、NVDは脆弱性の評価と分析、対応を支援する追加情報を提供する。どちらも、サイバーセキュリティ関連のコミュニティが脆弱性をよりよく理解し、管理するために不可欠なツールだ。

　もう少し詳しく内容を紹介すると、CVEはコンピュータシステムやネットワークに影響を与える既知の脆弱性やセキュリティ上の欠陥に割り当てられる識別子として使われる。脆弱性に対して共通で一意の番号を提供することが最大の目的だ。各項目には識別番号と説明が含まれており、脆弱性の性質や影響を受けるソフトウェアやハードウェア、潜在的な軽減策に関する情報も含む。CVEはセキュリティ研究者やソフトウェアベンダー、システム管理者が特定の脆弱性を識別し、議論し、対処する共通言語となっている。

　NVDは米国政府がスポンサーとなっている脆弱性データベースで、さまざまなソースから取得したCVEに関する包括的な情報を提供する。NISTが管理しており、CVEの中央リポジトリとして機能している。NVDは各CVEに関する詳細な情報を含む。これがNVDの存在価値だ。脆弱性の深刻度評価や影響を受ける製品、ベンダーからの情報、潜在的な緩和策と修正もある。さらに、NVDはCVSS（Common Vulnerability Scoring System）を使用して、脆弱性の深刻度をスコア化し、優先順位を付けている。NVDは組織が脆弱性を特定し、評価し、対応する支援となることを目的としている。つまり、脆弱性管理プロセスを支援する包括的なリソースだ。（キーマンズネット編集部）

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）も未処理の脆弱性に関する追加情報を提供することでNISTを支援しており、脆弱性のデータベースへ情報を追加する際に役立っている。

　「以前CISAは、NISTのNVDプログラムを年間約370万ドルの省庁間資金で支援していたが、これを打ち切った。私たちは、その損失を補うために、NISTの既存の資金をNVDプログラムに振り分けた」（プレス氏）

　NISTによると、CISAからの省庁間資金は2023年9月下旬に終了した。

　CISAの広報担当者は、2024年5月31日に次のように述べた。

　「テクノロジーコミュニティーは脆弱性を緩和する優先順位を決めたり、リスクを理解したりするために、脆弱性に関する情報に依存している。私たちは新たに公開された脆弱性に関連するリスクを軽減するために、限られたリソースを最も効果的に配分する方法を継続的に評価すると同時に、脆弱性が起こりにくいソフトウェアの設計手法を採るようベンダーに対して働きかけている」。CISAはシフトレフトを推進している。

増え続ける未処理のデータ

　脆弱性の処理を正常な状態に戻すため、CISAとNISTは、なじみのパートナーのAnalygenceを頼っている。

　NISTのコンピュータセキュリティ部門や応用サイバーセキュリティ部門、その他のサイバーセキュリティとプライバシーの業務支援のために、2023年12月にNISTはAnalygenceと125万ドルの契約を締結した（注5）。また、過去にはCISAがAnalygenceと、同機関の脆弱性管理部門を支援する契約を締結していた（注6）。

　NVDの活動が強化される中、外部研究者たちは未分析の脆弱性が増加したことに警鐘を鳴らた。VulnCheckは2024年5月20日の週の報告で「2024年2月中旬以降にNVDで公開された脆弱性のうち、NISTは10分の1未満しか分析していない」と述べた（注7）。

　NISTは「VulnCheckの分析を再現することはできないが、NVDに提出された全ての脆弱性の状況はオンラインで確認できる」と述べた。

　プレス氏はVulnCheckの調査結果に対し、「CISAのKnown Exploited Vulnerabilitiesというリストで特定された積極的に悪用される脆弱性を含め、最も重要な脆弱性を優先している」と述べた。

　NISTは、2024年9月30日に終了する米国政府の会計年度末までに、脆弱性の未処理分を解消する予定だ。

出典：NIST has a plan to clear the vulnerability analysis backlog（Cybersecurity Dive）
注1：What’s going on with the National Vulnerability Database?（Cybersecurity Dive）
注2：What the NVD ‘Slowdown’ Means For You: How to Stay Ahead in Vulnerability Management（FLASHPOINT）
注3：NATIONAL VULNERABILITY DATABASE（NIST）
注4：Contract Summary（USASPENDING）
注5：ANALYGENCE AWARDED POSITION ON $125M NIST CYBERSECURITY AND PRIVACY SUPPORT SERVICES (CAPSS) INDEFINITE DELIVERY, INDEFINITE QUANTITY CONTRACT (IDIQ)（Analygence）
注6：ANALYGENCE AWARDED THE VULNERABILITY ASSESSMENT AND VULNERABILITY COORDINATION (VAVC) CONTRACT SUPPORTING THE DEPARTMENT OF HOMELAND SECURITY (DHS) CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY (CISA)（Analygence）
注7：Critical CVEs are going under-analyzed as NIST falls behind（Cybersecurity Dive）