サイバーニュース.jp

世界のサイバーなニュースを配信

NIST、ソフトウェア脆弱性分析における役割を再考 – 急増する情報に対応し戦略転換へ

カテゴリ:

NIST、ソフトウェア脆弱性分析の役割を再定義へ

米国標準技術局(NIST)は、ソフトウェア脆弱性分析における自身の役割を再評価しており、その中心である国家脆弱性データベース(NVD)が、急増する脆弱性情報の処理に追いつけない現状を打開しようとしています。NISTは、脆弱性分析の需要が急激に高まる中、その対応能力を巡る懸念に対し、パートナー機関への継続的なコミットメントを再確認しつつ、戦略的な転換を図る構えです。

NVDの現状と「追いつけない」課題

NISTのコンピューターセキュリティ部門の責任者代理であるジョン・ボイエンス氏は、NVDの「戦略的な今後の進め方」について熟考していることを明らかにしました。NVDは、連邦政府が資金提供する共通脆弱性識別子(CVE)リストに詳細な情報を追加する役割を担っていますが、長年にわたり、殺到する脆弱性情報の「エンリッチメント(詳細化)」作業にNISTが対応できていない状況が続いていました。

ボイエンス氏は、「過去1年半、私たちは後手に回ってきた」と認め、脆弱性がNVDに登録される速度は、NISTがそれらを分析し詳細情報を提供する速度をはるかに上回っていると説明しました。この作業は「非常に手間がかかり、NVDに寄せられるCVEの量に対してスケーラブルではない」ため、「私たちは負け戦をしている。それを認識している」と現状の厳しさを語っています。

脆弱性トリアージと用語の見直し

この課題を解決するため、NISTは今後、脆弱性のエンリッチメントに優先順位を設ける方針です。優先順位付けは、以下の要素に基づいて行われます。

  • CISA(サイバーセキュリティ・インフラセキュリティ庁)の既知の悪用済み脆弱性カタログに掲載されているか
  • 連邦政府機関が使用するソフトウェアに存在する脆弱性か
  • NISTが「クリティカル」と定義するソフトウェアに存在する脆弱性か

ボイエンス氏は、「すべてのCVEが平等ではない」とし、この優先順位付けを正式化するプロセスを進めていると述べました。また、NISTはエンリッチメントされていない脆弱性に対して「バックログ(未処理案件)」という言葉を使うことをやめるよう促しています。「すべてのCVE、あるいはこれまでに提出されたすべてのCVEを遡ってエンリッチメントしようとするのは、私たちの使命やステークホルダーに資するものではない」と、用語の見直しの意図を説明しました。

責任の移譲とNISTの核心的機能への回帰

NISTは、脆弱性分析エコシステムにおける自身の役割も再検討しており、その戦略と実施計画を公表する予定です。このプロセスを主導するプログラムマネージャーの採用も計画されています。NISTはパートナー機関や企業、研究者と連携し、NVDの利用状況や求められる情報について理解を深めます。ボイエンス氏は、「私たちがCVEをエンリッチメントしている多くのことが、本当に有用であるかどうか理解できていない」と述べ、「より広範なコミュニティのニーズと、そのエコシステムの中でNISTがどこに位置づけられるか」を探求すると語りました。

NISTの目標は、脆弱性エンリッチメント作業を、CVEを検証し一意の識別子を割り当てるCVE採番機関(CNA)に移行することです。この移行を実現するためには、NISTがCNA向けのガイダンスを作成する必要があります。ボイエンス氏によれば、この作業の移譲は、20年以上にわたり脆弱性データを分析してきたNISTにとって「大きなリセット」を意味します。

NVDプログラムは、研究と標準設定活動が中心であるNISTのサイバーセキュリティポートフォリオの中で、常に異質な存在でした。ボイエンス氏は、「私たちの基盤は研究、開発、そして(技術の)アプリケーションをより広範な市場に展開することにある」と述べ、「運用面は、非常にコストがかかり、私たちの専門分野の範疇外であることがわかった」と強調しました。NISTは「NISTの核心的機能に立ち返りたい」と考えています。

他の脆弱性データベースとの協調か競争か

諮問委員会メンバーは、CVEプログラムの危機を受けて立ち上がった他の脆弱性分析プロジェクトについて質問しました。CISAが資金提供する「Vulnrichment」プロジェクトについて、ボイエンス氏は懐疑的な見方を示し、「NVDのバックログに対する解決策だとは思わない。そこには重複する努力が見られる」と語りました。NISTとCISAのスタッフは、調整を改善するため近日中に会合を開く予定です。

また、米国主導のシステムに対する懸念に応えて立ち上げられた、欧州の新しい脆弱性データベース「Global CVE Allocation System(GCVE)」についても懸念を表明しました。NISTは、「コミュニティ全体でプロセスが細分化されることがないよう」、GCVEの運営者と会合を開く計画です。一方、商務省の監察総監は、バックログに関する懸念を受けてNVDの監査を継続しており、ボイエンス氏はこの監査が間もなく終了することに期待を寄せています。

元記事: https://www.cybersecuritydive.com/news/nist-cve-vulnerability-analysis-nvd-review/810300/

投稿をさらに読み込む