NIST’s vulnerability database logjam is still growing despite attempts to clear it
2025/03/19 NextGov — NIST (National Institute of Standards and Technology) は、昨年から続いている NVD (National Vulnerability Database) におけるセキュリティ脆弱性の分析遅延について、2025年の春頃にはバックログを解消する目標を掲げていた。しかし、先日の NIST の発表は、「当面は改善する見込みがない」というものだった。
NIST が運営する NVD は、サイバー攻撃のリスク評価に用いられる、極めて重要なリポジトリである。しかし、2024年2月から、未分析の脆弱性が蓄積されたままの状態が続いている。2024年7月の Nextgov/FCW の報道によると、 NIST は、2024年の春から夏の処理速度をもとに、この遅延は、2025年3月までには解消できると予測していた。
しかし、先週の NIST の発表によると、2024年に脆弱性の報告数が前年比で 32%増加し、2024年の春から夏の処理能力では、増加する提出件数に対応できなくなったとのことだ。つまり、未処理の脆弱性は、現在も増加し続けていることになる。
NIST の広報担当者は、「2025年には、脆弱性の報告件数が、さらに増加すると予想している。提出される脆弱性の数が増えるということは、米国のインフラを保護する上での NVD の重要性が、これまで以上に高まっているという証である。その一方で、将来的にさらなる課題が待ち受けていることも意味している。我々は、これらの課題に対処するため、内部プロセスを改善し、効率性を高める取り組みを行っている。また、特定の処理タスクを自動化するために、ML の導入も検討している」と述べている。
NIST に脆弱性が報告されると、その内容をアナリストたちが詳しく調査し、セキュリティ・チームは対処/回避の方式を評価する。その分析が完了するまで、対象の脆弱性は “unenriched” (未処理) の状態となる。提出された脆弱性の深刻度に応じて、詳細の分析に、かなりの時間を要する場合もある。
Fortress Information Security の Product Owner/Security Researcher である Bryan Cowan は、「NIST は善処しているが、残念ながら、その間にも未分析の脆弱性は蓄積していく一方だ」と指摘する。
2024年5月に NIST は、このバックログを解消するために、メリーランド州のサイバー・セキュリティ Analygence に対して、業務支援を約 $870,000 の対価で依頼している。
Bryan Cowan は、「NIST はトレーニングを行い、より多くのリソースを確保して対応に当たってきた。その成果は、はっきりと見て取れる。しかし彼らは、もう手一杯のように見える」と語っている。
Fortress が提供するダッシュボードによると、NIST の脆弱性の分析速度は向上しているが、たとえば 2025年の2月〜3月には、新たに報告された脆弱性の件数が増加している。また、この記事の執筆時点のデータを見ると、今週だけで 約 340件が新たに報告されている。
NVD には、攻撃者による悪用時の影響を数値で示す、深刻度スコアの機能があり、セキュリティ研究者にとって欠かせないツールとなっている。さらに、NVD のデータは、将来に発見されるかもしれない脆弱性を予測する、AI モデルの学習データとしても活用されている。
Cowan は、「残念ながら、バックログの蓄積が常態化しつつあると感じている。バックログを解消するには、もっと処理速度を上げなければならないだろう。だが、現状を見る限り、バックログがゼロになる日が来るのかは不明である」と述べている。
NIST の NVD ですが、なかなかバックログを消せないようですね。昨年の出来事は突然のことであり、多くのセキュリティ・チームが途方に暮れたはずだと思います。それぞれのチームが、善後策を考えながら対処し、すでに1年が過ぎてしましました。とにかく、いまは、昨日までと同じように考え、対処していくことになりそうです。よろしければ、NIST + NVD で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.