CISA Clarifies CVE Program’s Stability Amid Funding Concerns
2025/04/24 SecurityOnline — CVE (Common Vulnerabilities and Exposures) プログラムの不安定さを懸念する、最近のメディア報道を受けるかたちで CISA は、最も重要なサイバー・セキュリティ・インフラの一つである CVE を維持するコミットメントを、強い声明で再確認している。
CISA は、「事実関係をはっきりさせると、資金の問題ではなく、契約管理上の問題であり、それは契約失効前に解決された」と述べ、CVE プログラムの危機への懸念を払拭した。
米国の国土安全保障省 (DHS:Department of Homeland Security) による資金提供を受けるかたちで、MITRE が管理する CVE プログラムは、公開されているサイバー・セキュリティの脆弱性を特定し、カタログ化するための、世界標準として機能している。防御側と開発者が使用する CVE ID は、現代の脆弱性管理および脅威インテリジェンス・プラットフォームの基盤になっている。
ことの発端は、MITRE の VP である Yosry Barsoum の発言だった。同氏は、米国政府の資金援助が途絶えれば、CVE と CWE (Common Weakness Enumeration) に深刻な影響が及ぶ可能性があると警告した。この発言を受け、資金援助が途絶えることで、グローバルな脆弱性の追跡活動が不安定化するという憶測が飛び交った。
しかし CISA は、「CVE プログラムに中断はなく、この重要なサイバー・インフラの維持と改善に、CISA は全力を尽くしていく」という声明を直ちに発した。
CISA は、CVE プログラムの回復力と適応性を強調している。CVE プログラムは、中央集権型モデルから、世界中に分散する 453 の CVE 採番機関 (CVE Numbering Authorities) で構成される連合型のシステムへと進化してきた。このネットワークにより、CVE 識別子のスケーラビリティとタイムリーな割り当てが可能になり、新たな脅威に対する透明性と迅速な対応が促進されている。
CISA は、「この成長により、CVE の特定に分散化と迅速化のメリットが加わり、一般の人々に対して貴重な脆弱性情報を提供しながら、防御側における迅速な行動を促し、自らの組織の保護が推進されている」と述べている。
サイバー・セキュリティ・エコシステムの複雑さと規模を認識する CISA は、コミュニティとの連携への尽力も再確認している。同庁は、「私たちは、CVE プログラムに必要な、安定性と革新性をもたらすために、民間部門と国際政府間の包括的で積極的な参加を促し、有意義な協力を促進することに尽力している」と述べている。
さらに CISA は、MITRE および CVE Board と緊密に連携し、コミュニティからのフィードバックをベースとするプログラム戦略の改良と、絶えず変化するデジタル環境での CVE の妥当性/有効性を維持することを目指していくと明言した。
脆弱性の分類法として、最も広く採用されている CVE プログラムは、ほぼ全ての主要サイバー・セキュリティ・ツール/フレームワークに統合されている。SIEM や脅威インテリジェンス・プラットフォームから、国家の脆弱性データベースやリスク・スキャナーに至るまで、自動検知と協調的な対応を可能にする共通言語として、CVE ID は採用されている。
このインフラに不具合が生じると、脆弱性の開示が滞り、修復サイクルが遅延し、グローバルでのサイバー防御に弱体化の可能性が生じる。CISA による、今回の迅速な説明は、業界の関係者と国際的なパートナーの双方にとって、大きな安心感をもたらすものだ。
冒頭で述べた、最近の懸念が生じたとしても、CVE プログラムは継続的に整然と運用されており、CISA と MITRE により適切にサポートされている。CVE の継続性は、グローバルな脆弱性管理のバックボーンとして不可欠である。CISA の説明によれば、その継続性は完全に保証されていることになる。
CVE プログラムの問題が一時的に解消されたとはいえ、CVE プログラムを巡る一連の出来事により、その持続可能性に対する懸念が浮き彫りにされたと感じます。GCVE をはじめとする、新たな取り組みも始まっていますが、過渡期にあることは否めません。資金提供が延長され、CISA の声明が発表されたとはいえ、状況が安定するまでには、しばらく時間がかかるでしょう。よろしければ、以下のリストも、ご参照下さい。
2025/04/18:GCVE:CVE ID を分散管理する新たな取り組み
2025/04/16:CVE プログラムの未来を担う CVE Foundation
2025/04/16:CVE の危機が回避:CISA から MITRE への資金
2025/04/16:CVE プログラムへの政府資金が終了? MITRE が懸念
2025/04/11:NVD が体制を刷新:CVE バックログ解消に向けた改革
2025/03/19:NVD バックログの解消に苦戦:今後も停滞が続く?
IoT OT Security News 
You must be logged in to post a comment.