Mend.ioはこのほど、「NVD Update: Help Has Arrived|Mend.io」において、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の管理下にある脆弱性情報データベース(NVD: National Vulnerability Database)の共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)登録遅滞問題が解決したと伝えた。この問題はNISTが資金不足に陥り、人員の確保が難しくなったことが原因とされる。
資金の引き上げ
Mend.ioによると、これまでNVDへのCVE登録作業は大口の資金提供者の支援を受けて行われていたという。この大口の資金提供者が資金を引き上げたため370万ドルの不足が生じ、2024年2月から作業の遅滞が目立ち始めたとされる。
当初、この資金提供者の情報は伏せられていたが、NIST広報部長のRich Press氏の発言で資金提供者は米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)だったことが明らかになった。資金を引き上げた理由は明らかにしていないが、CISAはNISTと別にCVEを管理する「CVE.org」を支援しており、一部からはCVE.orgを拡充して脆弱性情報データベースを終了させようとしたのではないかとの指摘がある。
資金不足の影響
NISTのNVDにはCVE登録の際、次の情報も登録する。
- 共通脆弱性タイプ一覧(CWE: Common Weakness Enumeration) - 脆弱性の種類を識別する
- 共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System) - 脆弱性の深刻度を評価する
- 共通プラットフォーム一覧(CPE: Common Platform Enumerator) - 情報システム、ソフトウェア、パッケージ、ハードウェア、アプリケーションを識別する共通の命名規則
これら情報が登録されることでセキュリティ企業やセキュリティソリューションは、どこに、どの程度の、どのような問題が存在するのか容易に判断できるようになる。今回、NISTが資金不足に陥ったことで、これら追加情報の登録が遅滞してセキュリティソリューションに影響が出たとみられている。
解決
今回、NISTは内部予算から不足する資金を捻出し、Analygenceを提携企業として雇用することで問題を解決した。AnalygenceはNISTとの間で総額1億2,500万ドルの契約を獲得したと発表しているが、NVD関連作業については180万ドルの契約とされる。
NISTはこれまでに遅滞した作業を9月末までに完了する予定と発表しており、脆弱性情報データベースの信頼性は10月以降に回復する見込み。