NIST NVDの停滞に対処 CISAが新プロジェクト「Vulnrichment」を発表：セキュリティニュースアラート

CISAは新たなプロジェクト「Vulnrichment」を発表した。このプロジェクトはNVDの停滞に伴うギャップを埋めることを目的とした取り組みとされている。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年5月9日（現地時間）、米国国立標準技術研究所（以下、NIST）が運営する脆弱（ぜいじゃく）性データベース「National Vulnerability Database」（以下、NVD）の停滞に伴う問題を解決するための新たなプロジェクト「Vulnrichment」の立ち上げを発表した。

脆弱性情報データベース強化に向けた新たな試み

　Vulnrichmentは「共通プラットフォーム一覧」（CPE）や「共通脆弱性評価システム」（CVSS）「共通脆弱性タイプ一覧」（CWE）、「既知の悪用された脆弱性カタログ」（Known Exploited Vulnerabilities Catalog）などをCVEに追加することに焦点が置かれている。この取り組みは脆弱性に対処する際の優先順位付けと傾向の把握に寄与し組織にとって重要なプロジェクトとされている。

　Vulnrichmentについては以下の「GitHub」で詳細を確認できる。

• cisagov/vulnrichment: A repo to conduct vulnerability enrichment.

　CISAは最近1300件のCVEをエンリッチメントしたが、提出された全てのCVEをエンリッチメントするには至っていない。同組織は今後も「この取り組みに向けて引き続き努力する」と説明している。CVEに関するタイムリーで正確な情報は、組織にとって是正の優先順位付けおよび傾向の把握とともに脆弱性に対処する上で極めて重要だとしている。