NIST NVD の新たなコンソーシアム設立が決定:FIRST カンファレンスでの発表とは?

NIST Unveils New Consortium to Operate its National Vulnerability Database

2024/03/28 InfoSecurity — NIST (National Institute of Standards and Technology) が提供してきた、世界で最も利用されているソフトウェア脆弱性リポジトリの管理の一部が、業界コンソーシアムに引き継がれることが正式に決定した。米国商務省の一機関である NIST は、2005年に NVD (National Vulnerability Database ) を立ち上げて以来、ずっと運営を続けてきた。しかし、このデータベースの運営は、早ければ 2024年4月初旬から、審査に合格した組織の手に委ねられることになるという。


2024年3月25日〜27日にノースカロライナ州ローリーで開催された、FIRST (Forum of Incident Response and Security Teams) 主催のサイバーセキュリティ・カンファレンス “VulnCon” において、NVD プログラム・マネージャーの Tanya Brewer が公式発表を行った。

このニュースが発表されるまでの数週間にわたって、NVD のシャットダウンの可能性を巡る、様々な憶測が飛び交っていた。

2024年2月:NIST が CVE の情報更新を停止

2024年3月初旬に、多くのセキュリティ研究者たちが、NVD サイト上の脆弱性データのアップロードが、2月中旬から大幅に減少していることを発見した。

NIST のデータによると、3月までに NIST が受け取った 2957 件の CVE (Common Vulnerabilities and Exposures) のうち、分析されたのは僅か 199件だったという。つまり、2月中旬以降から、合計で 4000 件以上の CVE が分析されていないということだ。

NVD は世界で最も包括的な脆弱性データベースであるため、数多くの企業が、アップデートやパッチの配布を NVD に依存している。このような問題が迅速に解決されないと、世界中のセキュリティ研究者のコミュニティや組織に、大きな影響を与えかねない。

ファームウェア・セキュリティ・プロバイダー NetRise の CEO である Tom Pace は、「つまり、あらゆるオペレーティング・システム/ソフトウェア/パッケージ/アプリケーション/ファームウェア/デバイスに、どのような脆弱性があるのかを、自身で何とかして突き止めるよう、サイバーセキュリティ・コミュニティ全体に対して、一夜にして求めるようになったわけだ。まったく不可能な、無理難題だ」と、Infosecurity の取材に対してコメントしている。

また、ソフトウェア・セキュリティ・プロバイダー Chainguard の共同設立者/CEO である Dan Lorenc は、この件を “大問題” であると評している。

彼は、「いまの私たちは、可能な限り迅速に CVE を選別するために、業界のアラートとソーシャル・メディアに頼らざるを得ない状況になっている。スキャナ/アナライザなどの脆弱性ツールは、どのソフトウェアがどの脆弱性の影響を受けているのかを判断するために、NVD に依存している。組織が脆弱性を効果的に選別できなければ、リスクの増大につながり、脆弱性の管理態勢に大きなギャップを残すことになる」と、Infosecurity に対して語っている。

NVD の更新が滞る中で、VulnCheck/Anchore/RiskHorizon AI などのセキュリティ企業が、これまで NVD で提供されてきた脆弱性情報に対して、その代わりになるものを提供するプロジェクトに取り組み始めた。

その一方では、この件と同時期に、Federal Risk and Authorization Management Program (FedRAMP Rev.5) の最新版がリリースされている。FedRAMP Rev.5 とは、連邦政府との取引を希望する全ての企業に対して、NVD を情報源として使用し、NVD 内のすべての既知の脆弱性を修復することを義務付ける米国連邦法である。

NVD 内の課題が招いた “パーフェクト・ストーム”

NIST の声明が発表される前に、NVD の更新停止の原因について、以下のような憶測が流れていた:

  • NIST の 2024年度予算が $1.46bn なると、前日に国会議員たちに承認されたが、その規模は 2023年度と比べて 12% 近くの減額になる。
  • 請負業者 (おそらく Huntington Ingalls Industries) との、契約が終了する。
  • ソフトウェア/ハードウェア/システムなどを明確に識別するために使用される、IT 製品のフィンガープリントとして機能する CPE (Common Product Enumerators) などについて、NVD で使用されている脆弱性標準の一部を置き換えるための、社内議論が行われている。
  • パッケージ URL (PURL) の採用を開始するための、内部協議が行われている。

VulnCon での Tanya Brewer は、NVD の更新停止の理由について、あまり掘り下げなかった。彼女は、「その背景にはストーリーがあるが、それは長く、複雑で、非常に業務的なものだ」とコメントしている。声明文は、3月29日までに、NVD の Web サイトに掲載される予定だという。

さらに Brewer は、いくつかの課題が NVD プログラムを “この完璧な嵐 “に導いたと付け加えた。彼女は、「我々は、2023年5月から、これまでとは違うやり方で、産業界と仕事を始める必要があると考え、それに向けた取り組みを開始している。しかし残念なことに、私たちは完璧な嵐に見舞われ、望んでいたほど早く、それを成し遂げることができなかった」と述べている。

Brewer によると、NIST は NVD プログラムに関する人員を再配置し、他の政府機関との連携を強めており、NVD サイト上の脆弱性情報は、数週間以内に復旧する予定だという。彼女は、「我々は、NVD を停止するつもりはない。そして、NVD を再び強固なものにし、発展させていくつもりだ」とコメントしている。

NIST が今後の NVD コンソーシアムの詳細を発表

2月15日から、NVD の Web サイトには、「現在 NIST は、NVD プログラムの課題に取り組み、改良されたツールや手法を開発するためのコンソーシアムの設立に取り組んでいる」というコメントが掲載されている。このコンソーシアムについても、Tanya Brewer は、VulnCon での発表で触れている。

Source: NIST (edited by Infosecurity Magazine)
Source: NIST (edited by Infosecurity Magazine)

彼女は、「正式な通知はまだ出ていないが、NIST は、新たな NVD コンソーシアムを2週間以内に立ち上げ、将来における NVD を、より有意義なものにしていくつもりだ」と説明している。NVD の新たなコンソーシアムは、資金提供や将来の開発に関するフィードバックにより、NIST を支援する予定だという。

また、VulnCon に出席していた TPO (Technology Partnership Office) の J’aime Maynard (コンソーシアム合意担当官) からは、誰が NVD コンソーシアムに登録可能なのかという情報と、その登録方法についての情報が提供された。

要約すると、コンソーシアムに登録可能なのは組織のみであり、NIST と同じ CRADA (Cooperative Research and Development Agreement) を締結し、同じ条件とリスクを受け入れる必要があるということだ。会費制も検討されているという。

CRADA の締結が禁止されている組織は、別の適切な契約に基づいて、コンソーシアムに参加することができる。このコンソーシアムは各種のワーキング・グループで構成され、各メンバーに対しては、運営委員会における1議席が与えられるという。

NIST は、NVD コンソーシアムの主な目的/申請方法/NIST の関連窓口などを詳述した、連邦官報告示を発行する予定だ。

今後5年の NVD のプラン

NVD が再開すれば、今後の1年〜5年の間に、特にソフトウェアの識別を中心としたプロセス改善のための新しいアプローチを検討すると、Tanya Brewer は述べている。

そのプランには、次のようなものがある:

  • パートナーを増やす:増加し続ける IT 製品に合わせて拡張できる方法で、CPE ディクショナリのために CPE データを提供できるようにする。
  • ソフトウェア識別の改善:NVD におけるソフトウェア識別を、複雑化するソフトウェア識別に対応できるようにする (PURLS の採用を検討) 。
  • 新しいタイプのデータ:EPSS や NIST Bugs Framework などから、新しい種類のデータを NVD に掲載する機能を開発する。
  • 新しいユースケース:NVD データをより活用しやすくし、ターゲットとするユースケースに対してよりカスタマイズしやすい方法を開発する。たとえば、CVE が公開されたときの、NVD からのメール通知の送信などである。
  • CVE JSON 5.0:NVD の機能を拡張し、CVE JSON 5.0 で利用可能な、新しいデータポイントを活用できるようにする。
  • 自動化:少なくとも、一部の CVE 分析活動を自動化する方法を開発する。

Brewer は、「人手を使わずに、CVE の情報を分析できるようにしたい。最近の AI の発展は、その助けになるだろう」と述べている。

長らく待たれていた “明確さ”

VulnCon の開催前に、NIST が公式見解を発表しなかったことについて、数多くの脆弱性研究者たちが批判していた。

Aquia の Chris Hughes が司会を務めた、LinkedIn のビデオ・ポッドキャスト “Resilient Cyber“ で Lorenc は、「カンファレンスで新製品を派手に発表しておきながら、NVD のような重要なものがどうなっているのか、世間に公表しないのはおかしい」とコメントしている。

しかし Brewer のセッションは、脆弱性研究者たちがこの1ヶ月にわたって NIST に対して投げかけてきた、多くの疑問に答えるものだった。

Aquia の Hughes は、 「今回の発表で、業界が求めていたことが、ようやく明確になった。また、オープンソースのエコシステムとソフトウェアのサプライチェーン・セキュリティに関して、いまの NVD が抱えている課題に対処する、PURL の NVD サポートなどは、長期的な視点で問題に対処するものになるはずだ」と、Infosecurity の取材に対してコメントしている。

さらに彼は、「この短期間の混乱は、NVD の運用や機能性に関する長年の課題を解決するだけではなく、コンソーシアムを通じてより広範な業界コラボレーションの推進に役立つというのが総意である」と述べている。

VulnCheck のセキュリティ研究者である Patrick Garrity も、これに賛同しており、「このカンファレンスに NIST NVD が参加したことで、CVE の処理における現在のギャップに積極的に取り組んでいるという安心感を、それぞれのコミュニティは得ることができた。解決までの明確なタイムラインは無いが、NIST NVD が解決に向けて熱心に取り組んでいることは明らかであり、新しいコンソーシアムを通じたコミュニティとの協力も強調されている」と述べている。

しかし、Tanya Brewer の VulnCon でのスピーチには、批判的な声も上がっている。OWASP の SBOM フォーラムの共同リーダーである Tom Alrich は、「Brewer が、NVD プログラムが直面している問題の本質や、最近のバックログの背景にある理由に触れなかったことを残念に思う」と、EnergyCentral の Web サイトの Digital Utility Group フォーラムに、3月28日に掲載された投稿の中で述べている。

Infosecurity は NIST に問い合わせたが、現時点で回答は得られていない。

NIST NVD の変調が、とても心配されていましたが、ようやく公式の見解が提供されたようです。この後書きを記している、日本時間の 3月31日の時点で、NIST NVD ページも更新されています。VulnCon での Tanya Brewer さんのコメントあるように、5月からの新たな展開に期待しましょう。