NIST says NVD will be back on track by September 2024
2024/05/31 HelpNetSecurity — 5月29日に NIST が発表したのは、NVD への CVE の登録を支援する契約を、同機関が 無名の企業/団体に依頼したことである。さらに NIST (National Institute of Standards and Technology) は、年度末である 9月30日までに、NVD (National Vulnerability Database) で未解析の状態にある CVE (Common Vulnerabilities and Exposures) の、エンリッチメント化も進める予定であるという。
NVD の問題は2月に明らかになった
NVD の CVE エンリッチメント化は、2024年の初めから遅延し始めている。その当時の NIST は、ツールと手法の改善への取り組みや、各種の課題への対応を支援するコンソーシアムの設立など、多方面から解決策を検討していると述べていた。
その後の4月に、NVD の Program Manager である Tanya Brewer が発表したのは、NVD プログラムはソフトウェア識別の改善/CVE 分析活動の自動化/NVD データの利用とカスタマイズの容易化/EPSS スコアなどの追加データを公開する機能の開発などの、数多くの変更に関する検討である。
その数週間後には、CISA (Cybersecurity and Infrastructure Security Agency) が、現在のギャップを埋めるための新プログラムである Vulnrichment を開始した。
NIST の懸命な取り組み
5月20日に NIST は、NVD が CVE 5.0 と CVE 5.1 のレコードを1時間ごとに取り込み始めたと発表した。その 10日後には、NVD は 9月末までに、元に戻るであろうという、歓迎すべき最新の約束がなされた。
喜ばしいことに、NIST は NVD の管理を手放すつもりはないようだ。
NIST は、「私たちは、25年にわたり、この脆弱性データベースを世界中のユーザーに提供してきた。さらに言うなら、NIST は施行や監視の役割を担っていないことから、NVD の管理に最適である。そのため、情報技術に対する信頼の構築/維持と、技術革新の促進において不可欠な、この重要な国家資源を維持し、近代化することに全力を尽くしている」と述べている。
同機関は、「技術やプロセスの更新を通じて、日々増加する脆弱性への対処法にも取り組んでいる。私たちの目標は、長期的に持続可能なプログラムを構築し、脆弱性管理/セキュリティ測定/コンプライアンスの自動化を支援することだ」と付け加えている。
UPDATE (May 31, 2024, 03:50 a.m. ET):
Recorded Future によると、NVD に登録される CVE の処理において、NIST を支援する企業として選ばれたのは、メリーランド州を拠点とする Analygence だという。
これまでにも同社は、NIST の情報技術ラボと CISA の脆弱性管理サブ・ディビジョンにおいて、サイバー・セキュリティとプライバシーのミッションをサポートする契約を獲得している。
5月29日の NIST 発表をベースにした記事は、2024/05/30 の「NIST NVD の障害:外部への支援要請を発表」に続いて、これで2本目となります。1日遅れでポストされた、今日の HelpNetSecurity の記事ですが、SecurityWeek との視点の違いも興味深いです。よろしければ、以下のリストも、ご参照ください。
- 2024/05/30:NIST NVD の障害:外部への支援要請を発表
- 2024/05/14:NIST NVD の混乱:新規の CVE 追加が一時的に停止
- 2024/05/08:CISA の Vulnrichment:NVD が残したギャップを埋める
- 2024/04/16:NIST NVD:専門家たちが運用再開の支援を米議会に要請
- 2024/04/03:CVE と NVD:脆弱性の正規の情報源は分断されている?
- 2024/03/15:NIST NVD の障害:メタデータが提供されていない
- 2024/03/22:NIST の脆弱性データベースの凍結
- 2024/03/28:NIST NVD の新たなコンソーシアム設立が決定
IoT OT Security News 
You must be logged in to post a comment.