本文の内容は、2025年4月17日に ashish chakrabortty が投稿したブログ(https://sysdig.com/blog/cve-wake-up-call-whats-ahead-after-the-mitre-funding-fiasco/)を元に日本語に翻訳・再構成した内容となっております。
衝撃的な展開として、2025年4月15日、MITREが爆弾のような発表を行い、私たちが知っていたセキュリティの世界は混乱に陥りました。MITREはCVE理事会に宛てた書簡において、米国政府がCVEプログラムの運営契約を更新しない旨を通知しました。その結果、混乱が巻き起こりました。コーヒーがこぼれ、重要なセキュリティ業務が手つかずのまま残されました。というのも、このような大きな変更がCVEプログラムにとって何を意味するのか、誰にも明確にはわからなかったためです。中核的な存在が格下げされる、あるいは最悪の場合は離脱する可能性がありました。
MITREによる25年間にわたる共通脆弱性識別子(CVE)プログラムへの関与は、4月16日で突如終了する予定でした。これにより、セキュリティ上の脆弱性管理が宙に浮くことになる可能性がありました。この件は本来非公開で進められるはずでしたが、ソーシャルメディア上でリークされ、サイバーセキュリティのコミュニティは我を忘れて動揺しました――それも半日も経たないうちの出来事です。
最新の情報によりますと、サイバーセキュリティ・インフラセキュリティ庁(CISA)がMITREによるCVEプログラムの運営資金を延長し、差し迫っていた契約終了が回避されました。現在の契約は11か月後に期限を迎える予定であり、次に何が起こるのかという疑問が生じています。
MITREがCVEの運営から退いた場合、世界がどのようになるのかを理解しておく必要があります。
MITRE:CVE プログラムの管理者
MITREは、CISAおよびRed Hatと並んで、3つのCVE採番機関(CNA-LR)の1つであり、トップレベルルート(TL-Root)でもあります。400を超えるCNAの大部分は、特定の範囲と責任に基づいてCVE IDとレコードの割り当てと公開を行っていますが、MITREは最終的な真実の情報源として機能します。MITREは、他のCNAに対するガバナンスと管理の責任を維持し、他のCNAの範囲外にあるCVEを割り当てます。
MITREは、過去10年間、NISTなどの主要なCNA(セキュリティ専門家協会)と連携し、CVE自動化の最前線に立ち、対応者が脆弱性をより深く理解できるよう支援してきました。MITREは、以下のようなツールやセキュリティプラットフォームによるCVEデータの迅速かつ標準化された取り込みを可能にしました。
- JSON(機械可読性のため)
- CVE サービス 2.0 API
- 脆弱性悪用可能性交換 (VEX)
- 共通安全保障諮問部隊(CSAF)
これらのイノベーションにより、手作業によるCVE割り当てのボトルネックが解消され、セキュリティチームとCVEワークフローの連携が強化されました。世界中の企業は、悪用不可能な脆弱性によるノイズを大幅に削減し、より適切な修復判断を下せるようになりました。
MITREがCVEプログラム事務局に選ばれたことは、当然のことです。MITREは商業的または営利目的ではなく公共の利益のために活動しており、中立的で信頼できるコーディネーターです。MITREは、サイバーセキュリティ、システムエンジニアリング、そして情報共有の分野で数十年にわたる経験を有しており、CVEプログラムのような複雑なエコシステムを管理する上で不可欠です。
ドミノ効果
MITREは、公開されている脆弱性やエクスポージャーに関する信頼できる参照方法を提供するウェブサイトCVE.orgの管理者です。契約期間が満了し、MITREが突如サイトを閉鎖した場合、企業はGitHubで公開されている過去のCVE記録に頼らざるを得なくなる可能性があります。CVEエコシステムは複雑であり、このデータベースは脆弱性管理やセキュリティ研究を行うすべての人にとって不可欠です。MITREがなければ、新たな安定した資金、あるいはCVEプログラムを支援する他の組織が切実に必要となるでしょう。
「MITREへの資金提供が途絶えれば、即座に連鎖的な影響が生じ、世界規模の脆弱性管理に影響を及ぼすだろう」とブライアン・マーティン氏はLinkedInに記している。「脆弱性情報収集にCVE/NVDに依存していた世界中の企業は、脆弱性管理プログラムに迅速かつ深刻な打撃を受けることになるだろう。」ブライアン・マーティン、32年間の脆弱性研究家、セキュリティエラッタプロジェクトのCSO、元CVE理事
その結果、世界的な傾向として、攻撃者の活動が即座に急増し、企業へのハッキングが頻発する可能性が高いでしょう。ゼロデイ攻撃が増加し、世界中の企業はサイバーセキュリティの脆弱性を特定し、優先順位付けを行うことに困難をきたすでしょう。セキュリティ対策は逼迫し、アナリストは新たな脆弱性が発見されたという報告に常に目を光らせています。
回復力
連邦予算の削減がサイバーセキュリティの分野に衝撃を与えています。防御側がますます不確実性に直面する一方で、攻撃者には行動の余地が広がっています。国土安全保障省(DHS)およびその内部機関であるCISAが、多くのサイバー関連契約を失効させていると報じられています。報道によれば、CISAは米国内の数千の重要インフラにサイバーセキュリティ支援を提供しているMS-ISACおよびElection ISACへの資金提供を縮小する方針を発表したとのことです。
世界のセキュリティコミュニティが混乱に投げ込まれることは、もはや珍しいことではありません。この発表により、分散化とEUVD、GCVE、CVE Foundationといった代替の脆弱性通知ソリューションへの依存が必要となりました。11か月後、連邦政府の資金サイクルが再び不安定になる際には、CVE FoundationがCVEプログラムの長期的な持続可能性、安定性、そして独立性を確保するための代替的なガバナンス構造となる可能性があります。CVE Foundationは、将来的にその組織構造、スケジュール、関与の機会について詳細を発表する予定です。
結びの考察:サイバーセキュリティ組織に求められる次のステップ
CVEプログラムは20年以上にわたり、サイバーセキュリティ業界の基盤として機能してきました。これにより、サイバーセキュリティベンダー、政府機関、重要インフラの運用者は、脆弱性を一貫して特定・追跡することが可能となっていました。次のステップは、防御側と企業の手に委ねられていますが、その道を一人で切り開く必要はありません。この発表は、パートナーシップ、コミュニティとの連携、戦略的コンサルティングなどを通じて、フルスペクトルの可視性を備えたプラットフォームを革新する必要性を強調しています。少数の関係者だけでなく、コミュニティ全体が関与することで、セキュリティコミュニティにとって「支援はすぐそばにある」という安心感が得られるでしょう。
常に他の選択肢は存在しており、今回の事態を受けて、それらはさらに注目を集める可能性があります。政府資金に依存するセキュリティプログラムの不確実性は、世界中のセキュリティコミュニティを根底から揺るがしました。各組織は、ソフトウェア提供元、大手Linuxディストリビューション、脅威インテリジェンスプロバイダーなど、独立した情報源からの脆弱性アドバイザリを含め、脆弱性管理戦略をより広範に展開すべきです。先に挙げた代替CVEソリューションも、もちろんその一部です。より良い備えとは、情報源を多様化し、パートナーシップを強化し、現状が変化しても揺るがないような、より広く深く、柔軟性のある可視性を持ったセキュリティ投資を行うことです。
セキュリティプログラムを将来にわたって堅牢なものにする方法について、詳しく知りたい方は、ぜひお問い合わせください。