eSecurity Planetはこのほど、「US Extends CVE Program Support Amid Outcry」において、サイバーセキュリティ業界に走った緊迫の瞬間を伝えた。

  • US Extends CVE Program Support Amid Outcry

    US Extends CVE Program Support Amid Outcry

MITREがCVEおよびCWEを終了すると警告

米国政府機関をサイバーセキュリティ分野で支援する非営利団体「MITRE」の副社長を務めるYosry Barsoum氏は、4月15日(米国時間)にCVE委員会に対して送付した書簡にて、共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)および共通脆弱性タイプ一覧(CWE: Common Weakness Enumeration)プログラムに対する政府の資金提供が4月16日に終了すると明らかにした。

  • CVE委員会宛に送付した書簡 - 引用:CISA元ディレクターのJen Easterly氏の投稿

    CVE委員会宛に送付した書簡 引用:CISA元ディレクターのJen Easterly氏の投稿

この書簡がきっかけとなり、セキュリティ業界に緊迫した空気が流れた。

共通脆弱性識別子(CVE)の役割

共通脆弱性識別子(CVE)はさまざまなソフトウェアやハードウェアに存在する脆弱性を評価および管理する仕組みで、脆弱性それぞれに一意の識別子を割り当てている。企業や組織の脆弱性管理や対策に利用されているほか、セキュリティ研究者と開発者間の不必要な争いを回避する「責任ある情報開示」にも役立っている。

共通脆弱性タイプ一覧(CWE)は脆弱性の種類や概要を管理する仕組みで、CVEと同様に一意の識別子を割り当て、脆弱性の特定や対策に活用されている。

いずれも現在のサイバーセキュリティには欠かせない存在となっており、これらを失うことの危険性について米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)のディレクターを務めたJen Easterly氏は次のように述べている(参考:「QUICK NOTE: A potential shutdown or disruption of the CVE (Common… | Jen Easterly」)。

「CVEシステムは見出しにはならないかもしれませんが、現代のサイバーセキュリティの重要な柱の一つです。これを失うことは、すべての図書館からカード目録を一度に引き抜くようなものです。防御側は混乱した状況を整理する一方で、攻撃者はこれを最大限に活用することになります」

代替計画の実行後に資金提供を延長

CVE委員会は書簡を受け取ると迅速に行動を起こし、単一スポンサー(米国政府)への依存を減らすことを目的に、新たな非営利団体「CVE財団」を設立した。新設のCVE財団は速やかにプレスリリースを発表し、その中で次のように述べている(参考:「CVE Foundation」)。

「 CVE財団の設立は、脆弱性管理エコシステムにおける障害を排除し、CVEプログラムが世界的に信頼され、コミュニティー主導のイニシアチブであり続けることを保証する大きな一歩となります。国際的なサイバーセキュリティコミュニティにとって、この動きは今日の脅威を取り巻く状況のグローバルな性質を反映したガバナンスを確立する機会となります」

この財団の設立が影響したかは定かではないが、資金提供を終了するわずか数時間前にCISAは資金提供を延長すると発表した。BleepingComputerによると、CISAは共通脆弱性識別子(CVE)の重要性について次のように述べ、契約を11カ月間延長したという(参考:「CISA extends funding to ensure 'no lapse in critical CVE services'」)。

「CVEプログラムはサイバーコミュニティにとって重要であり、CISAの優先事項です。昨夜、CISAは重要なCVEサービスが停滞しないよう、契約のオプション期間を延長しました。パートナーおよび関係者の協力に感謝します」

新たに設立されたCVE財団にどれだけの活動資金が存在していたのかはわからないが、少なくとも11ァ月間は危機を回避したことになる。CVE財団は移行計画およびコミュニティへの参加方法について今後数日以内に発表する予定としており、米国政府に依存した組織運営の見直しは継続するものとみられる。