NIST may not resolve vulnerability database backlog until early 2025, analysis shows
2024/07/26 NextGov — 米国が管理するサイバー・セキュリティの脆弱性データベースだが、現在の処理スピードで進むなら、2025年初頭になっても処理しきれないほどの、未処理の情報を抱えていることが、新たな分析で明らかになった。NIST (National Institute of Standards and Technology) の NVD (National Vulnerability Database) は、測定ツールなどを用いて脆弱性悪用の危険度を評価する研究者のための、基礎となるコンテンツ・リポジトリであるが、2月以降において明確な説明もないまま、未分析の脆弱性を蓄積し続けている。
Fortress Information Security のダッシュボードによると、現在のペースで進むとすると、NVD に申請されている約 30,000件の脆弱性の解析は、2024年末まで持ち越しとなり、その渋滞が完全に解決されるのは、2025年3月になるという可能性が生じるという。なお、このダッシュボードの公開は、Nextgov/FCW により初めて行われるものである。
2024年5月下旬に NIST が発表したのは、メリーランド州のサイバーセキュリティ企業 Analygence に、この混雑を解消するためのタスクを、$865,657 で発注したというものだ。NIST は会計年度末までに、つまり9月30日までに、この渋滞を解消する予定だと述べている。しかし、Fortress Information Security の表によると、それを実現するには、1日あたり 217件の脆弱性を評価しなければならない。
このダッシュボードを開発している Fortress の Product Owner 兼 Security Researcher である Bryan Cowan は、「脆弱性の数は増え続けている。バックログを整理するために Analygence が参画して以来、分析プロセスに対して、わずかな改善が加えられているが、評価率が上がるかどうかは、現時点ではわからない」と述べている。
同社のダッシュボードによると、先月には約223件の脆弱性が解決されている。それが、今月には 332件に増えており、報告書を精査する能力が若干向上していることが示唆される。このダッシュボードでは、脆弱性を深刻度でソートすることができないが、この機能は、後に追加される可能性があると、Fortress は述べている。
NIST の広報担当者は、「5月29日の声明で述べたように、我々は CVE の受信処理を再開した。また、そのときのステートメントで伝えたように、我々は CISA と連携してバックログに対処することを計画している。ただし、この取り組みは、現時点では完全なかたちで実施されていない。NVD のダッシュボードは、透明性のある最新のパフォーマンス統計を提供するものであり、いつまでにバックログを解消できるかについては、詳細が判明した後にコミュニティに報告する予定だ」と、Nextgov/FCW の取材に回答している。
セキュリティ研究者たちは、それぞれの脆弱性がハッカーに悪用された場合の影響度を測定するために、データベースの深刻度スコアを多用する。その内容は、いまは未発見の脆弱性が、ソフトウェア製品に含まれているかどうかを予測する、機械学習モデルの訓練にも使われている。
言うまでもなく NIST は、重要な新興技術や国家安全保障の研究に取り組む機関である。しかし、同機関からの来年度予算要求に対して、8% の削減が予定されていることが注目を集めている。
編集部注:この記事は、NIST からのコメントを追加するために更新されている。
単純計算で、半年近いブランクを取り戻すには、2倍のリソースを投入しても半年が必要です。さらに言うなら、新しいリソースが直ぐに意図通りに動けるかとなると、それも難しいと思います。と言うのが、お隣のキュレーション・チームの見解です。彼らは、VulDB も併用しているので難を逃れていますが、NVD だけを頼りにしている組織は、ほんとうにお困りだと思います。早く、なんとかしてほしいです。
2024/05/31:2024年9月までには軌道に乗ると発表
2024/05/30:外部への支援要請と契約締結について発表
2024/05/23:悪用された CVE のメタデータは依然として欠落
2024/05/14:NIST NVD の混乱:新規の CVE 追加が一時的に停止
2024/05/08:CISA の Vulnrichment:NVD の埋める脆弱性メタデータ
2024/04/16:専門家たちが運用再開の支援を米議会に要請
2024/04/03:CVE と NVD:脆弱性の正規の情報源は分断されている?
2024/03/28:NIST NVD の新たなコンソーシアム設立が決定
2024/03/22:NIST の脆弱性データベースの凍結
2024/03/15:CVE に紐づくはずのメタデータが提供されていない
IoT OT Security News 
You must be logged in to post a comment.