CISA Extends CVE Program Funding to Prevent Critical Service Disruption
2025/04/16 SecurityOnline — Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、サイバー・セキュリティ・コミュニティの基盤となるツールである、Common Vulnerabilities and Exposures (CVE) プログラムへの資金提供を延長し、その運用を継続して保護することである。この土壇場での介入により、25年の歴史を持つ脆弱性追跡システムの運用の、中断の危機が回避されたことになる。
CISA の広報担当者は、「CVE プログラムは、サイバー・コミュニティにとって極めて重要であり、CISA が最優先する事項でもある。昨夜に CISA は、重要な CVE サービスに支障が生じないよう、契約のオプション期間を延長した。パートナーおよび関係者の、理解と協力に感謝する」と、声明の中で述べている。
先日に MITRE の VP である Yosry Barsoum が、CVE と関連する CWE (Common Weakness Enumeration) プログラムの両方が、4月16日の時点で財政支援を失うと警告している。このプログラムの資金難について、警鐘を鳴らされてから僅か数時間後に、CISA の発表は行われた。Yosry Barsoum は、このような資金不足により、国内の脆弱性データベース/アドバイザリ・フィード/セキュリティ・ベンダー/インシデント対応チームにおいて、広範に及ぶ影響が生じるだろうと警告していた。
さらに Barsoum は、「このサービスが中断した場合には、米国の脆弱性データベースと、アドバイザリ/ツールベンダー/インシデント対応業務に加えて、あらゆる種類の重要インフラの劣化といった、問題が生じると予想される」と、CVE 理事会メンバーへの書簡で述べている。
CVE プログラムは、U.S. Department of Homeland Security (DHS) と CISA の支援を受ける MITRE が維持/管理しており、1999年に開始された以降において、既知のサイバー・セキュリティ脆弱性を特定してカタログ化するための、国際標準として機能してきた。現在までに 274,000件以上の CVE レコードが発行され、さまざまな業界の脅威インテリジェンス・プラットフォーム/脆弱性スキャナー/パッチ管理システムをサポートしている。
今回の資金の延長により、当面の間、このプログラムは安定するだろう。ただし Barsoum は恒久的な支援が不可欠であると強調している。彼は、「政府は引き続き、このプログラムにおける MITRE の役割を支援するために多大な努力を払っており、MITRE はグローバル・リソースとしての CVE に対して、引き続き尽力していく」と述べている。
この展開が浮き彫りにするのは、基盤となるサイバー・セキュリティ・インフラに対する、安定した政府資金の重要性である。サイバー脅威が複雑化し、急速に変化する中で、CVE や CWE のようなシステムの継続性は、国家と世界にとって不可欠なものである。
NVD がバックログ解消に苦戦する中、昨日 (2025年4月15日) には CVE プログラムと米国政府との契約終了が発表されていましたが、その後、資金の延長が決定されたようです。一時的な安堵にはつながったものの、根本的な課題は依然として解決されておらず、問題が先送りにされた印象も拭えません。よろしければ、以下のリストも、ご参照ください。
2025/04/16:CVE の危機が回避:CISA から MITRE への資金が継続
2025/04/16:CVE プログラムに対する政府資金が終了? MITRE が懸念
2025/04/11:NVD が運用体制を刷新:CVE バックログ解消に向けた改革と
2025/03/19:NVD バックログの解消に苦戦:今後も停滞が続く見通し
IoT OT Security News 
You must be logged in to post a comment.