NIST:NVD(国家脆弱性データベース)停止、セキュリティ対策に暗雲

Last Updated on 2024-04-17 10:44 by TaTsu

NISTの国家脆弱性データベース（NVD:National Vulnerability Database）が停止し、その将来について疑問が呈されている。NVDはセキュリティ研究者が発見した数百のCVE:Common Vulnerabilities and Exposures（共通脆弱性識別子）の詳細を掲載しており、NISTが改善されたツールと手法を導入するために分析作業に遅延が生じている。この遅延により、企業のセキュリティマネージャーは新たな脅威に対応するための計画を立てる必要がある。

NVDの代替策として、MITREや他のセキュリティベンダーが独自の脆弱性データベースを作成している。Tenable、Qualys、Ivantiなどのセキュリティベンダーは、より詳細なメタデータを含む独自のデータベースを提供している。しかし、これらのデータベースへの切り替えにはプログラミングの努力とテスト時間が必要である。中国では政府機関が独自のデータベースを作成しており、これが他国に悪影響を及ぼす可能性がある。

NVDの凍結は、特定の脆弱性の影響や修正の必要性が不明瞭となり、パッチの適用を困難にしている。これは悪意のある攻撃者が企業ネットワークに侵入する時間を増やすことにつながる。NVDの代替策として新しい業界のコンソーシアムやオープンソースの取り組みが存在するが、NVDからこれらのデータベースに切り替えるには努力と時間が必要である。また、NVDの凍結は連邦政府の他の部門の報告要件と矛盾している。

【参考サイト】
NIST：National Institute of Standards and Technology（米国国立標準技術研究所）オフィシャルサイト（外部）

【編集者追記】NISTとは？

NISTとは、アメリカ合衆国商務省に所属する国立の研究機関で、正式名称は National Institute of Standards and Technology（米国国立標準技術研究所）です。

NISTの主な役割は以下の通りです。

• 科学技術分野における計測と標準に関する研究を行う
• 度量衡や計測・計量についての標準を管理する
• 情報セキュリティなどIT分野の標準規格を策定・公表する
• 経済的安全保障の強化と生活の質の向上のため、計量学や標準規格、産業技術の進歩を促進する
• アメリカの技術革新と産業競争力を高める

NISTは1901年に設立され、もともとはNBS（National Bureau of Standards：国立標準局）という名称でしたが、1988年に現在のNISTに改組されました。

情報セキュリティの分野では、NISTのComputer Security Division (CSD)が策定した各種ガイドラインが世界的に参照されています。例えば、サイバーセキュリティフレームワーク、SP800シリーズ、FIPS（連邦情報処理標準）などが有名です。

特に、政府調達先のセキュリティ基準を定めたNIST SP800-171は、アメリカ政府との取引を行う企業は準拠が求められるため、日本企業にも影響があるとして注目されています。

このように、NISTはアメリカのみならず国際的にも、計測・標準化と情報セキュリティの分野をリードする重要な政府機関と言えるでしょう。

【編集者追記:その2】NISTはなぜNVDを停止したのか

NISTがNVDの更新を一時的に停止した主な理由は以下の2点です。

1. NISTがNVDの改善を目的に、新しい脆弱性分析ツールと手法の導入を決定したこと。
   これにより、2023年2月12日以降、NVDへの脆弱性情報の更新がほぼ完全に停止しています。その結果、2,500件以上の脆弱性について、説明文、影響を受けるソフトウェア、深刻度スコアなどの重要な付加情報が提供されていない状態が続いています。
2. NISTがNVDプログラムの課題解決のため、新たなコンソーシアムの設立に取り組んでいること。
   NISTは現在、NVDの抱える問題に対処し、改善されたツールや手法を開発するために、コンソーシアムの立ち上げを進めています。しかし、このコンソーシアムの詳細は明らかにされておらず、セキュリティコミュニティからは十分な情報提供がなされていないとの指摘もあります。

つまり、NVDの機能改善を目指した新ツールの導入と、コンソーシアム設立の動きが、皮肉にもNVDの機能を大幅に低下させ、脆弱性情報の更新停止という事態を招いているのです。本来はセキュリティ対策に役立つはずのNVDが、一時的とはいえ情報提供を止めてしまったことで、ユーザー企業などに少なからぬ影響が出ているようです。

【ニュース解説】

アメリカ国立標準技術研究所（NIST）が運営する国家脆弱性データベース（NVD）が、改善されたツールと手法の導入により、分析作業に遅延が生じていると発表しました。このデータベースは、セキュリティ研究者が世界中で発見した数百の共通脆弱性識別子（CVE）の詳細を掲載しており、企業のセキュリティマネージャーにとって重要な情報源です。しかし、この遅延により、新たな脅威に迅速に対応することが困難になっています。

この状況を受けて、MITREや他のセキュリティベンダーが独自の脆弱性データベースを作成し、代替策を提供しています。これらのデータベースは、より詳細なメタデータを含んでおり、攻撃を防ぐための情報を提供します。しかし、NVDからこれらのデータベースへの移行には、プログラミングの努力とテスト時間が必要です。

NVDの凍結は、特定の脆弱性の影響や修正の必要性が不明瞭となり、パッチの適用を困難にしています。これは、悪意のある攻撃者が企業ネットワークに侵入する時間を増やすことにつながります。さらに、中国では政府機関が独自のデータベースを作成しており、これが他国に悪影響を及ぼす可能性があります。

この問題に対処するために、新しい業界のコンソーシアムやオープンソースの取り組みが存在しますが、NVDからこれらのデータベースに切り替えるには努力と時間が必要です。また、NVDの凍結は連邦政府の他の部門の報告要件と矛盾しており、この問題の解決には複雑な課題が伴います。

この状況は、セキュリティ情報の共有と迅速な対応の重要性を浮き彫りにしています。企業や政府機関は、新たな脅威に対処するために、情報源の多様化と迅速な情報共有の仕組みを構築する必要があります。また、この問題は、セキュリティコミュニティ全体での協力と情報共有の強化を促す機会ともなっています。長期的には、より効率的で透明性の高い脆弱性情報の共有システムの構築が求められています。

from NIST’s Vuln Database Downshifts, Prompting Questions About Its Future.