US Government Launches Audit of NIST’s National Vulnerability Database
2025/05/27 InfoSecurity — 米国政府が開始した監査は、National Vulnerability Database (NVD) に関するものであり、未処理の脆弱性情報の案件を、確実に進めるためのものである。5月20日付の覚書において、米国の商務省 (DoC:Department of Commerce) の監査室は、国立標準技術研究所 (NIST:National Institute of Standards and Technology) による NVD の監督体制について、監査を実施する計画を発表した。
この監査は、昨年の NIST 内で発生した膨大な未処理案件を受けて、NVD 申請の処理手順を精査することに重点を置いている。
この商務省 (DoC) によるレビューは、NIST の管理プロセスの有効性を評価し、将来における未処理案件の発生を繰り返さないための、改善点を特定することを目的としている。
商務省の監査/評価担当監察総監代理である Kevin D. Ryan は、標準技術担当次官代理である Craig Burkhardt に宛てた覚書の中で、予定されている監査の詳細を述べている。
その書簡には、「新たに定められた作業を、直ちに開始する予定だ。NIST の監査担当者と連絡を取り、開始会議の日程を調整する。その際に、監査の目的と範囲/期間に加えて、想定されるデータに関する要求などの、監査の具体的な内容について相談したい」と記されている。
脆弱性のバックログへの対応
NVD を支えてきた重要な契約が 2024年初頭に終了したが、それまでの1年間に直面した大きな課題として、未分析の脆弱性が大量に蓄積されている。
その結果として、新たに特定された脆弱性が、NVD チームにおいて未調査の情報として山積みとなり、分析のボトルネックが大きくなっている。
2025年4月には、NVD の PM である Tanya Brewer と、NIST の Chief of the Computer Security Division である Matthew Scholl が、ノースカロライナ州ローリーで開催された脆弱性管理に特化したイベント VulnCon において、NVD の最新情報の一部を共有した。
同組織は、NVD が脆弱性を処理する方法に、いくつかの改善を加えたことを発表し、より多くのデータ分析タスクを自動化し、AI を活用した支援方法を検討するなど、バックログに追いつくための新しい戦略に取り組んでいると述べている。
昨年の2月頃から続くNVD のバックログ問題に、新たな動きがあったようです。これからは、人の手だけでは追いつかない脆弱性分析に AI をどう取り入れていくのかが気になるところです。なお、これまでの NVD バックログに関する動向は、以下の記事でも取り上げています。よろしければ、Tracking ページと併せて、ご利用ください。
2025/04/11:NVD が体制を刷新:CVE バックログ解消へ向けて
2025/03/19:NVD バックログの解消に苦戦:今後も停滞が続く?
2025/04/11:NVD が運用体制を刷新:CVE バックログを解消
2025/03/19:NVD バックログの解消に苦戦:今後も停滞?
2024/07/26:NVD のバックログ:渋滞解消は 2025年初頭?
2024/05/30:外部への支援要請と契約締結について発表
2024/05/14:NIST NVD の混乱:新規の CVE 追加が停止
2024/03/28:NIST NVD の新たなコンソーシアム設立が決定
2024/03/22:NIST の脆弱性データベースの凍結
2024/03/15:CVE に紐づくはずのメタデータが提供されない
IoT OT Security News 
You must be logged in to post a comment.