NIST Defers Pre-2018 CVEs to Tackle Growing Vulnerability Backlog
2025/04/08 InfoSecurity — NIST (National Institute of Standards and Technology) の正式発表によると、2018年1月1日以前に公開された、すべての CVE に対して、NVD 上で “Deferred” (保留) としてマークされることが決定したようだ。このステータスが付与された CVE は、CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) に登録されない限り、詳細情報の更新の優先順位が下げられる。
NIST は、この方針変更を明示するために、該当する CVE のページにバナーを表示するとしている。この対応は、すでに始まっており、これまでに 20,000件以上のエントリに影響を与えている。さらに、今後の影響の範囲は、最大で 100,000件に達する可能性があるとみられている。
この決定は、脆弱性データの処理における増大する未処理バックログと、NIST が戦い続けている中で下されたものだ。
2024年における NIST への CVE の提出数は、前年比で 32% も増加している。そのため、2024年会計度末までに、バックログを解消するという目標は達成できなかった。NIST は、この遅延の原因として、新たに届くデータを効率的にインポートし、内容を充実させることの難しさを挙げている。
2024年11月に NIST は 、「この問題に対処するために、ADP データの処理をより効率化するための、新しいシステムの開発を進めている」と述べていた。そして専門家たちは、今回の NIST の対応を、複雑な問題に対する現実的な判断だと評価している。
Qualys Threat Research Unit の Cyber Threat Director である Ken Dunham は、「NIST が古い脆弱性を“Deferred”としてマークする動きは、脆弱性管理の規模が拡大する中での当然の進化といえる。各組織は、この NIST による措置を、自社のリスク管理および優先順位づけの難しさを示す指標として捉えるべきだ」と述べている。
また、Sectigo の Senior Fellow である Jason Soroko は、この決定を戦略的な優先順位の見直しだとし、「この動きは、限られたリソースを新たな脅威に再配分することを意味する。その前提には、古い脆弱性はすでに十分に文書化されており、定期的なパッチ管理で対処済みという認識がある」とコメントしている。
なお、“Deferred” としてマークされた CVE の各ページへは、引き続きアクセス可能であり、メタデータの更新リクエストも継続して行うことができる。しかし、こうした古い脆弱性の管理責任においては、今後は各組織側に委ねられることになる。
セキュリティ・チームに推奨される対応事項は、以下のとおりである:
- 古いシステムの特定と監視を実施する
- “Deferred” とされた脆弱性へのパッチ適用を、可能な範囲で優先する
- 古いインフラの堅牢化やセグメント化を実施する
- リアルタイムの脅威インテリジェンスを導入し、悪用の試を検知する
CVE の件数が増加し続ける中で、NIST は脆弱性データ処理の効率化に向けて、AI や機械学習の活用も検討している。
この記事も、そして、引用される専門家たちのコメントも、今回の NIST の判断を支持しているようです。それよりは、いまのバックログを優先して解決してほしいという気持ちのほうが、強いのだとも感じます。よろしければ、以下のリストを ご参照ください。
2025/03/19:NVD バックログに苦戦:今後も停滞が続く見通し
2024/07/26:NVD のバックログ:渋滞解消は 2025年初頭?
2024/05/31:2024年9月までには軌道に乗ると発表
2024/05/30:外部への支援要請と契約締結について発表
2024/05/23:悪用された CVE のメタデータは依然として欠落
2024/05/14:NIST NVD の混乱:新規の CVE 追加が一時的に停止
2024/05/08:CISA の Vulnrichment:NVD のメタデータ?
2024/04/16:専門家たちが運用再開の支援を米議会に要請
2024/04/03:CVE と NVD:脆弱性の正規の情報源が分断?
2024/03/28:NIST NVD の新たなコンソーシアム設立が決定
2024/03/22:NIST の脆弱性データベースの凍結
2024/03/15:CVE に紐づくはずのメタデータが提供されていない
IoT OT Security News 
You must be logged in to post a comment.