NIST NVD の障害:サイバーセキュリティの専門家たちが運用再開の支援を米議会に要請

Cybersecurity Pros Urge US Congress to Help NIST Restore NVD Operation

2024/04/16 InfoSecurity — 米国の NVD (National Vulnerability Database) の問題が長引けば、サプライチェーンのセキュリティに大きな危機が生じかねないと、複数の脆弱性管理コミュニティーが警告を発している。“A cybersecurity crisis in waiting: On the Need to Restore and Enhance Operations with the National Vulnerability Database” という公開書簡が、米商務長官の Gina Raimondo と、複数の米議会議員のもとに送られたのは、4月12日のことである。その書簡には、サイバー・セキュリティの専門家たち 50人が署名しているという。

この公開文書で、署名者たちが議会に対して求めているのは、現在 NVD  で発生している問題を調査し、米国の NIST (National Institute of Standards and Technology) が脆弱性の情報登録の復旧を支援すること。そして、NVD プログラムの近代化において、同研究所を支援することだ。

NVD コンソーシアム:脆弱性バックログに対する NIST の対応

2024年3月初旬にセキュリティ研究者たちは、NVD の Web サイトにおける脆弱性の詳細データのアップロードが、激減していることを発見した。この減少は、2月中旬から始まっていた。

脆弱性エントリ (CVE:Common Vulnerabilities and Exposures) は、データベースに追加され続けていた。しかし、それらの CVE の大半は完全に分析されず、CWE (Common Weaknesses and Exposures)/CPE (Common Product Enumerators)/CVSS (Common Vulnerability Scoring System) 値などの、重要なメタデータが追加されない状態にある。

NIST のデータによると、同機関が 2024年に受け取った 10,826件の CVE のうち、分析されたのは 4398件だったという。

この問題は、資金や人材などのリソース不足に起因しているようだ。NIST は3月下旬に、今後の NVD プログラムの運営と資金調達を支援するための、業界コンソーシアムを立ち上げた。

署名者たちの主張:優先されるべきは NVD バックログの解消

この公開書簡に署名した者たちは、現在の NVD のバックログを解消することを優先すべきだと主張している。

数多くの企業が、ソフトウェアのアップデートやパッチの適用において、世界で最も包括的な脆弱性データベースである NVD に依存している。

このような問題が迅速に解決されなければ、世界中のセキュリティ研究者コミュニティや組織に、大きな影響を与えかねない。

最初に NIST と NVD コンソーシアムは、この問題を解決すべきであり、その後にすべきものとして、NVD プログラム内の脆弱性開示と管理プロセスの再編成があると、署名者たちは提言している。

彼らは議会に対して、当面の間、以下の3つの対応で NIST を支援するよう求めている:

  1. NVD で発生している問題の調査
  2. NIST が直ちに業務を復旧させるために必要なリソースの確保
  3. NVD サービスの大幅な改善のための基礎固め
署名者たちの提言:NVD を復旧させるには

署名者たちは、それらの対応を実現するための対策として、いくつかの案を挙げている:

  • 暫定的なプロセスを導入する:CVE プログラムの再スコアリングや重複作業を行うことなく、NVD の CVE 番号付与機関 (CNA) データの通過点として機能する、暫定的なプロセスを導入する。ただし、CNA が提供するデータが明らかに不正確な場合は除外する。
  • 計画を策定する:NVD のプロセスと運営を改善するために、明確なタイムラインと説明責任を伴う計画を策定する。さらに、パブリック・コメント期間を設けて、一般/民間の利害関係者の意見を募集する。
  • NVD の機能停止期間の調査:2月15日〜3月25日の期間の、NVD 業務の停止に関する、NIST の透明性の欠如を調査する。
  • NVD の調査を実施する:NVD の更新データが激減した、2月15日〜3月25日の期間停止に関する、NIST の透明性の欠如を調査する。
  • 資金調達について検討する:利益相反のない NVD の日常業務に、信頼できるリソースを提供するための、持続的な資金調達を検討する。
  • NVD を重要なインフラとして扱う:NVD が提供する重要なサービスに支障をきたすような政府機関の閉鎖や混乱が生じても、NVD プログラムが稼動し続けるようにする。
  • NVD の独立性を維持する:NIST/NVD と産業界の協力体制は、奨励されるべきだ。しかし、連邦政府にとっての重要な情報源としての重要な役割を考えれば、NVD を所有し運営するのは、単一の組織とするべきである。

公開書簡の署名者たちは、Google などの技術大手/OpenSSF のようなオープンソース組織をはじめ、Chainguard/VulnCheck/Okta のようなセキュリティ・ベンダーなどの、セキュリティの現場で働く人々である。

まさに、業を煮やしてという展開ですね。このような公開書簡が提示されるということは、NIST NVD 側からの回答が不十分であり、前向きな議論が成立していないからなのでしょう。ほんとうに、困った状態です。