NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう：Cybersecurity Dive

NISTが運営する脆弱性データベース「National Vulnerability Database」（NVD）は、過剰な負担によって機能不全に陥っている。この負債によってユーザーにはどのような不利益が生じるのか。問題点を整理した。

[Matt Kapko，Cybersecurity Dive]

　米国国立標準技術研究所（以下、NIST）が運営する脆弱（ぜいじゃく）性データベース「National Vulnerability Database」（以下、NVD）は、増加の一途をたどるソフトウェアとハードウェアの欠陥に圧倒されている。NISTは、再編成と活動の優先順位を付け直すためデータベースの一時停止を要請した。

NVDが抱える問題点がついに顕在化した

　NISTは、2024年2月中旬にNVDの規模を縮小し（注1）、最も重要な脆弱性や活発に悪用されている脆弱性の分析を優先している。NISTは発表の中で、「ソフトウェアの増加に伴う脆弱性の増加や、省庁間のサポートの変化によって活動に遅れが生じた」と述べている。NVDが抱える問題点とは何か。

　NISTは政府内からさらなる支援を求め、公共機関と民間企業によるコンソーシアムを結成して長期的な課題に対処し、スタッフの再配置も踏まえてNVDを改善する方法を検討している。暫定的な対処として、分析を一時的に停止して、緊急性が低いと判断した脆弱性の詳細な分析を実施しない方針だ。

　NVDに関する作業と成果には目を見張るものがある。Flashpointの調査によると、2023年、同機関は3万3137件の開示を報告した（注2）。これはNVDが初めてオンライン化された2005年から318％増加したもので、過去最高を記録した。

　政府機関や民間企業、研究者、脅威ハンターは、NVDの規格に準拠した管理データを使用して、セキュリティの評価とコンプライアンスを自動化し、これらの脆弱性に潜む潜在的なリスクを評価、軽減、発見している。

　サイバーセキュリティ事業を営むRapid7のケイトリン・コンドン氏（リサーチディレクター）は「実際のところ大半の人は、何年も前からNVDの安定した稼働を当然のことと考えていたのだろう」と述べた。

　NISTの適時性や透明性、共通脆弱性評価システム（CVSS）におけるスコア、共通プラットフォーム一覧（CPE）、根本原因の特定などに関して時折論争が起こるものの、NVDは長きにわたって高い権威を備え、広く信頼されている脆弱性の情報源だった。

　サイバーセキュリティ事業を営むCensysのエミリー・オースティン氏（セキュリティ領域の主任研究者）は「調査や脆弱性管理の領域で働く人々をはじめとするさまざまな専門家が、NVDに信頼を寄せている。NVDは多くの組織で、管理ツールやプロセスに組み込まれており、その重要性はいくら強調してもし過ぎることはない」と話した。

NVDの遅延で大きな不利益を被るのは誰か？

　サイバーセキュリティの専門家は、NVDにおける作業の遅延の影響は時間の経過とともに顕在化すると予想している。また、一部の脆弱性がNISTの注目を浴びなくなることで、雪だるま式に影響が拡大するとも予測している。

　ベンダーの中には、自社製品の脆弱性に関する情報をほとんど開示しないところもある。NISTがこの不足を埋められない場合、その責任は最終的に脅威ハンターや研究者、セキュリティ企業が負うことになる。

　脆弱性情報を網羅的に収集できる情報源はNVDの他にも、Mitre Corp.のCVE.orgや（注3）、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の脆弱性カタログなどがあるが（注4）、前者は信頼できる情報源として連邦政府の公式な支持を得ておらず、後者は範囲が限られている。

　「脆弱性について、共通の基準を使って議論できることには価値がある。一方で、現在私たちが経験しているように、単一障害点がある状態への懸念もある」（オースティン氏）

　オースティン氏によると、NVDの一時的な遅延のせいで、企業はすでに、自分たちの環境にあるどのソフトウェアや製品が、共通脆弱性識別子（CVE）を与えられた脆弱性を有しているのかを把握するのが難しくなっているという。

　「脆弱性管理に携わる人々や、彼らが頼りにしているツールは、脆弱性データベースの問題の結果、大きな不利益を被っている」（オースティン氏）

脆弱性データベースが直面する課題

　NISTが分析しなければならない脆弱性の数が膨大であることと、NISTのリソースの問題が相まってNVDの整理には遅延が生じている。

　サイバーセキュリティ事業を営むFlashpointの調査では、次のように述べられている。

　「この度の遅延が始まる何年も前から、NVDは増加する情報開示の分析に遅れを生じさせており、1件の脆弱性の分析に2〜6週間を要することもしばしばだった。脆弱性データベースがカバーできる範囲は不十分であり、CVEを与えられなかったり、脆弱性データベースに登録されていなかったりして見逃されている脆弱性が10万件を超えるまでに増加してしまった」

　AIや気候、通信、サイバーセキュリティ、健康、インフラ、製造、量子科学に対処するために必要な専門技術を持つ人材が不足しているため、予算だけでNISTの問題を解決することは困難だ。NISTは計測科学や標準、技術を発展させることにより、米国のイノベーションと競争力を促進するという広範な使命を担っている。

　だが、そのような高尚な使命にはリソースが必要だ。

　米国政府の監査局の2023年の報告によると、約3400人の従業員と、2023会計年度において16億ドルの予算を持つNISTは（注5）、競争の激しい市場で専門的な人材を獲得し、保持することに苦労している（注6）。

　NISTはNVDを担当する従業員の人数を十分に確保したり、改善プロセスを完了して通常業務に復帰したりする時期についての質問には答えなかった。

　コンドン氏によると、NISTのリソースの大部分は、理論上はソフトウェアベンダーに最も適した作業であるCPE（Customer Premises Equipment）の生成に費やされているという。

　「ソフトウェアベンダーが、CPEの生成が自分たちの責任であると知っているのか、あるいは、それをするために自分たちが最良の立場にあると知っているのかについて、私は疑問を持っている」（コンドン氏）

　現在のモデルは適切に機能していない。このことは、サイバーセキュリティ業界全体の企業や専門家が、NISTに依存せずに積極的に行動する必要があることを強調している。

　「NISTが私たちに対して、どのような責任を負っているのかは不明だ。今日のプロセスがどのように機能しているのか、どこに困難があるのか、何を必要としているのか、そして、スケーラビリティの改善の機会がどこにあるのかを理解するために、私たちのエネルギーや知的資源、議論の大部分がこの問題に向けられることを期待している」（コンドン氏）

（注1）NVD Program Announcement （NIST）
（注2）What the NVD ‘Slowdown’ Means For You: How to Stay Ahead in Vulnerability Management（FLASHPOINT）
（注3）CVER Program Mission（CVE）
（注4）Known Exploited Vulnerabilities Catalog（CISA）
（注5）FY 2024: Presidential Budget Request Summary（NIST）
（注6）National Institute of Standards and Technology:Improved Workforce Planning Needed to Address Recruitment and Retention Challenges（GAO）

原文へのリンク