Last Updated on 2024-06-04 23:25 by 荒木 啓介
米国国立標準技術研究所(NIST)は、脆弱性データベースのバックログを解消するための計画を発表し、追加資金と第三者契約を用いて数ヶ月内に処理速度を回復させることを目指している。NISTは、サイバーセキュリティ・インフラセキュリティ庁(CISA)と協力し、米国政府の会計年度末である9月30日までにバックログを削減する計画である。また、毎年公開される脆弱性の数が増加することに対応するため、技術の更新とプロセスの変更に取り組んでいる。
NISTは、公共部門と民間部門の両方と協力し、将来のニーズを満たすための多面的なアプローチを取ることがバックログを解消する鍵であるとしている。NISTは、脆弱性管理コミュニティと連携し、必要なデータ仕様の更新、新しい仕様への移行の調整、改善点の特定を行う予定である。自動化、ツールの使用、参加、および標準およびデータ仕様の更新を含む「より良いNVD」を実現するためのプロセスを特定する計画である。
しかし、脆弱性の急増と政府の対応の遅れが問題となっている。2017年に脆弱性の識別子(CVE)の割り当てプロセスのボトルネックが解消されて以来、毎年公開される脆弱性の数は急増している。2016年には6,500件未満だった脆弱性が、翌年には14,600件以上に跳ね上がり、その後も増加を続けている。今年は、脆弱性の数が36,000件を超える見込みである。
NISTは、CISAと協力してプロセスの改善を図る計画であり、CISAは既に約1,300件の脆弱性にメタデータを追加するプロジェクトを開始している。しかし、短期的な努力だけでは不十分であり、長期的な取り組みが必要であるとの懸念が残る。
【ニュース解説】
米国国立標準技術研究所(NIST)が、脆弱性データベースのバックログ問題に対処するための新たな計画を発表しました。この計画では、追加資金と第三者契約を活用して数ヶ月内に処理速度を元の水準に戻すことを目指しています。また、サイバーセキュリティ・インフラセキュリティ庁(CISA)との協力により、9月30日までにバックログを削減する予定です。技術の更新とプロセスの変更も進められており、毎年増加する脆弱性への対応を強化することが狙いです。
この問題の背景には、脆弱性の識別子(CVE)の割り当てプロセスの改善により、公開される脆弱性の数が急増していることがあります。2016年には6,500件未満だった脆弱性が、翌年には14,600件以上に増加し、その数は年々増加しています。このような脆弱性の急増は、ソフトウェアのパッチ適用を待つディフェンダーや、情報の洪水に対処しようとする脅威情報提供者にとって大きな課題となっています。
NISTは、公共部門と民間部門の双方と協力し、将来のニーズを満たすための多面的なアプローチを取ることで、この問題に対処することを目指しています。自動化やツールの使用、参加、および標準およびデータ仕様の更新を含むプロセスの特定を通じて、「より良いNVD」の実現を計画しています。
しかし、この問題に対する短期的な解決策だけでは不十分であり、長期的な取り組みが必要であるという懸念が残ります。CISAとの協力によるメタデータの追加や、プロセスの改善は前向きな一歩ですが、脆弱性情報の重要性と扱いに関する認識の変化や、持続可能な資金提供の仕組みの構築など、より根本的な解決策が求められています。
この取り組みのポジティブな側面としては、脆弱性情報の迅速な処理と公開により、サイバーセキュリティの全体的な強化が期待できることが挙げられます。一方で、脆弱性情報の処理に関する長期的な戦略が不足している場合、新たな脆弱性の発見と公開のスピードに追いつけなくなるリスクがあります。また、公共部門と民間部門の連携による解決策の模索は、サイバーセキュリティの分野における協力の重要性を示していますが、実効性のあるパートナーシップを構築するためには、明確な役割分担と責任の所在が必要です。
将来的には、このような取り組みが脆弱性情報の管理と共有のグローバルスタンダードの確立に寄与し、サイバーセキュリティの強化に向けた国際的な連携を促進することが期待されます。
from NIST Commits to Vulnerability Plan, But Researchers' Concerns Remain.
