NIST NVD の障害:外部への支援要請と契約締結について発表

NIST Getting Outside Help for National Vulnerability Database

2024/05/30 SecurityWeek — 5月30日に NIST が発表したのは、今後の数カ月以内に NVD (National Vulnerability Database) を軌道に乗せるために、外部の支援を受けることだ。NIST は、4月に発表した情報アップデートにおいて、NVD に提出された解析が必要な脆弱性の、バックログが増加していることを認めていた。そして、この問題の原因は、脆弱性の件数の増加と “省庁間のサポートの変化“ にあると述べていた。


2024年2月以降において NIST は、この問題に対する長期的な解決策の模索と並行して、最も深刻な脆弱性の分析のみを優先して行ってきた。そして、5月29日に発表された最新のアップデートでは、NIST は NVD の追加処理サポートの契約を締結したと述べている。現時点において、契約を獲得した企業名は公表されていない。

NIST は、「この追加サポートにより、今後の数ヶ月以内に、2024年2月以前の処理率に戻せるだろう」と述べている。

同機関によると、未解析状態で積み上がっている、CVE データについても CISA に協力を要請し、NVD への情報追加作業を行っているという。

NIST は、「政府の会計年度末である 9月30日までに、バックログを解消する。すでに伝えている通り、NIST は技術やプロセスの更新を通じて、増加する脆弱性に対処する方法にも取り組んでいる。我々の目標は、長期的に持続可能なプログラムを構築し、脆弱性管理/セキュリティ測定/コンプライアンスの自動化を支援することだ」と述べている。

SecurityWeek は、2024年4月の 時点で、NVD をめぐる問題について、複数の専門家に対して聞き取り調査を行った。また、もやは NVD が、脆弱性に関する真の一元的な情報源とは、捉えられない理由についても指摘してきた。

脆弱性管理企業 VulnCheck の最近のレポートによると、2024年2月以降に NVD に追加された 12,720件のセキュリティ脆弱性のうち、11,885件が解析されず、また、また、重要なメタ・データも充実していないという。さらに、攻撃に悪用されたことが知られている脆弱性の半数以上は、現時点では分析されていないという。

先日に CISA は、Vulnrichment という新規プロジェクトの設立を発表している。このプロジェクトは、組織が脆弱性管理プロセスを改善できるよう、CVE 記録に重要な情報を追加することを目的としている。

NIST NVD の混乱ですが、そろそろ出口が見えてきてほしいところです。その意味で、外部への支援要請について発表があったことは、嬉しいことです。まだ、具体的な組織名が公表されていませんが、ガバナンスの効いた、しっかりとしたチームが構成されると良いですね。よろしければ、以下のリストも、ご参照ください。