CVE データはコミュニティが守るべきもの:現状を分析しながら分散化を提言する

Can a Global, Decentralized System Save CVE Data?

2025/11/19 DarkReading — セキュリティ・データ・アナリストであり CVE.ICU を主催する Jerry Gamblin によると、いまの脆弱性情報を取り巻く課題である、収集/追跡/報告などをタイムリーに拡充していくためには、Common Vulnerabilities and Exposures (CVE) システムの刷新が必要になるという。現実を見れば、事実上 MITRE と NIST (National Institute of Standards and Technology) が管理するデータ・リポジトリである National Vulnerability Database (NVD) は、脆弱性の分析において依然として遅れをとっている。

Jerry Gamblin の分析によると、過去5年間で 15万5,000件以上の CVE 識別子が割り当てられたが、その分析が進み、追加データで拡充されたのは僅か 26% に過ぎないという。この分析結果は、2025年12月に開催される Black Hat Europe カンファレンスで発表される予定だ。

CVE プログラム全体を見るなら、こうした課題は乗り越えられると思われる。ただし、Jerry Gamblin が指摘するのは、もはやセキュリティ・コミュニティは、米国政府にデータ維持を頼ることはできないというものだ。

彼は、「NIST が NVD に計上する予算は、きわめて少ないものだ。NVD の使命について突き詰めて考えるなら、連邦政府が利用する CVE を拡充することにある。そのデータを、世界中の誰もが利用できるようにと、NIST は公開し続けているが、そこにシングルフェイル・ポイントができあがってしまった」と指摘している。

2024年4月に NIST は、NVD における CVE の処理と拡充をほぼ停止して膨大なバックログを生み出したが、理由は資金の不足にあった。その3ヶ月後に追加資金が提供され、NIST は作業の再開を約束したが、以前の状況は十分なものではなかったと警告していた。そして、2025年3月に NIST が認めたのは、脆弱性開示ペースの加速への対応に課題が残り、現状維持には成功しているが、昨年の提出件数が 32% も増加している状況である。

2025年3月19日の NVD 一般更新で NIST は、「これまでの処理速度では、新規申請への対応が追いつかなくなっている。その結果として、未処理案件は依然として増加し続けている。2025年も、申請件数は引き続き増加すると予想している。脆弱性が増加しているという事実は、我が国のインフラを守る上で、これまで以上に NVD が重要であることを意味する。しかし、それと同時に、今後も課題が増えていくと示唆される」と述べている。

コミュニティ間で協力し合えれば

課題となっているのは、脆弱性の報告件数と CVE Numbering Authorities (CNA) の急増への対処である。現時点において 357 以上もの CNA が存在し、単一の組織による一元的な管理が不可能な域に達している。その一方で Gamblin が指摘するのは、特定のテクノロジー企業や政府機関が、業界や地域からの報告を管理する、ルート CNA になり得るという考え方である。

A graph showing monthly CVEs for 2025

European Union Agency for Cybersecurity が管理する EU Vulnerability Database (EUVD) などの、脆弱性データベースや地域的な取り組みが NVD 情報をミラーリングすることで、冗長性を高めることが可能になる。ネットワーク大手 Cisco の Principal Engineer でもある Gamblin は、ワークロードとデータの双方を分散化することで、脆弱性リポジトリの回復力を高めることができると述べている。

現時点の European Union Agency for Cybersecurity (ENISA) は、脆弱性報告の取り組みを積極的に拡大していない。しかし、その一方では、脆弱性データの拡充に独自に取り組んでいると Gamblin は指摘する。

彼は、「いずれは、グローバルな CVE プログラムが各種のデータをインポートし、正規化されたレコードセットとオリジナルのレコードセットを表示するようになってほしい。そうすれば、CNA たちがデータを追加し、それを ENISA が拡充するような流れが出来上がる。データの利用者から見れば、オリジナルのデータと追加されたデータが得られ、どこに差異があるのか、また、どこにグループ間の意見の相違があるのかも分かるようになる」と付け加えている。

分散化か破滅か

Gamblin の計画は、報告書の審査/データの拡充に加えて、情報を世界中に分散させて保管するための考え方を推進することだ。彼は自身の独立系プロジェクトである RogoLabs を通じて、セキュリティ情報サイトを数多く構築してきた。その中には、データの拡充が不十分な脆弱性の割合を測定するものもある。彼のデータ分析ダッシュボード CVE.ICU によると、2025年の時点での割合は 52% というレベルに達しているという。

コミュニティの活動は、企業への働きかけから始まる。まず、記録を公開する企業に対して、記録を可能な限り完全なものにするために、データを拡充するよう要望すべきだ。なぜなら、企業は他の誰よりも、データについてよく知っているはずだからだ。

最終的なシステムでは、個々の脆弱性に対して単一のグローバル・ユニーク ID を割り振るべきだと Gamblin は言う。彼は、「最終的には、これらのデータが、すべての人のためのものであり、また、単一の CVE 標準と記録形式を維持することを目指している。それを誰が所有するのかは分からない。おそらく、それは一種の政治的な問題になるはずだが、結局のところ、グローバルで一意の識別子を持つ方が良い」と述べている。

セキュリティ研究者たちが期待するのは、こうした可能性について議論することで、脆弱性データベースを頼りにする組織が声を上げるようになることだ。Gamblin は、「どう実装すべきか、すべてを考え抜いたというような、計画を提示する段階ではない。むしろ、野心的なものだ。どのような分散化を目指し、どこまで実現できるのかを議論するのだ」と締め括っている。

脆弱性情報が増え続ける一方で、集めた情報を整理/拡充する仕組みが追いついていません。CVE や NVD に世界中の情報と期待が集中している一方で、予算や人手は限られ、報告の件数や CNA の数が増え続けています。その結果として、多くの CVE に最低限の項目だけが登録され、詳細なメタデータや文脈が欠けたまま残ってしまう状態になっているようです。この記事は、単一のリポジトリに依存しすぎている構造自体がボトルネックになっており、地域ごとのデータベースや複数のプレイヤーによる分散した拡充が必要ではないかという、問題提起をしています。よろしければ、NIST NVD で検索を、お試しください。