CISA の Vulnrichment:NVD が残したギャップを埋める脆弱性メタデータ- RSA Con

RSAC: CISA Launches Vulnrichment Program to Address NVD Challenges

2024/05/08 InfoSecurity — 5月8日に 米 CISA (Cybersecurity and Infrastructure Security Agency) が発表したのは、”Vulnrichment” と呼ばれる新たなソフトウェア脆弱性充実化プログラムの開始である。この動きは、NIST (National Institute of Standards and Technology) が運営する、世界で最も包括的な脆弱性データベースである NVD (National Vulnerability Database) が、脆弱性情報の充実という問題に直面してから、約3ヶ月後の出来事である。NIST 自身のデータによると、今年に入ってから NIST に寄せられた 14,228件の CVE のうち、分析できたのは 4523件にしか過ぎないという。

CISA の Vulnrichment における取り組みを解読する

CISA の Vulnrichment プログラムは、CPE (Common Platform Enumeration) 番号および、CVSS (Common Vulnerability Scoring System) スコア、CWE (Common Weakness Enumeration) ネームタグ、KEV (Known Exploited Vulnerabilities) エントリなどのメタデータを、CVE に追加することに重点を置くものだ。

CISA は、「このメタデータは、組織における是正に優先順位をつけ、傾向を理解し、ベンダーが脆弱性のクラスに対処することを、後押しするために重要なものとなる」と、ソーシャルメディアへの投稿に記している。

最近になって CISAは、CVE 1300件分をエンリッチ化し、提出された全ての CVE がエンリッチ化されるよう、熱心に取り組み続けていると述べている。

また CISA は、すべての CNA (CVE Numbering Authorities) に対して、最初に CVE を CVE.org 提出する際に、完全な CVEを提供するよう求めている。

CISA は、「まもなく、CISA の Stakeholder-Specific Vulnerability Categorization (SSVC) からの、決定ポイントの共有も開始する。 我々は CVE JSON フォーマットを使用するため、関係者に脆弱性管理プロセスに、それらの更新を直ちに取り入れることが可能になる」と付け加えている。

CISA は NIST の NVD が残したギャップを埋める

ソフトウェア・セキュリティ企業 VulnCheck の セキュリティ研究者である Patrick Garrity は、RSA Conference 2024 の期間中において Infosecurity の取材に応じ、CISA のイニシアチブを称賛した。

彼は、「NIST が過剰な約束と過小な提供を続けてきたことで、セキュリティ・コミュニティは NVD の将来について確信が持てない状況にあった。NIST の NVD が対応を怠ってきた CVE エンリッチメントのギャップを埋めるために、CISA が立ち上がったのは素晴らしいことだ。NVD が置き去りにし続けているギャップを埋めるには、CVE.org の CNA/ソフトウェア・サプライヤー/政府機関/民間セクターの協力が必要である」と述べている。

Aquia の創設者であり、CISA の元フェローでもある Chris Hughes は、「Vulnrichment プログラムは、CISA がコミュニティと共有する優れたリソースである。ご存知のように、NVD は脆弱性情報の充実を大幅に遅らせており、コミュニティは脆弱性の適切な文脈化と優先順位付けに苦労している。この情報を CISA が提供することで、1,000件を超える脆弱性に新たなコンテキストが追加され、組織による適切な優先順位付けが可能になった」と、Infosecurity に語っている。

彼は、「さらに、CISA が SSVC を脆弱性のスコアリングと優先順位付けのスキームとして、社内で使用していることについての洞察が得られた。それにより、他の脆弱性や社内の脆弱性管理プログラムにおいて、実際に SSVC を活用する方法の理解が深まる」と付け加えている。

RiskHorizon.ai の CEO 兼創設者である Immanuel Chavoya は、「Vulnrichment イニシアチブは、正しい方向へ向けた、きわめて重要な一歩である。しかし、真のレジリエンスは、すべての CVE に対して、悪用される前に先手を打って充実させることにある。CVE に悪用の兆候が現れるのを待つことは、依然として下流に遅れをもたらす」と述べている。

CISA の Vulnrichment イニシアチブについて、専用の GitHub リポジトリで詳細を参照できる。

この、NIST NVD の問題ですが、ついに CISA が乗り出してきたようです。NIST も CISA も、米連邦政府の機関であり、政治的な駆け引きなどがあるのかもしれません。ただ、業界として望むべきことは、今の状態の速やかな収束にあると思います。