-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
NIST、NVDにおけるバックログや遅延の処理について米商務省OIGの監査を受けることに
脆弱性データベースNVDの停滞やバックログをめぐる懸念が高まりを見せ続ける中、米国商務省の監察総監室(OIG)は、米国国立標準技術研究所(NIST)によるNVDの管理状況についての監査を開始したという。
2025年5月20日付のNIST首脳部宛の覚書のなかで、OIGはNISTの「NVDへの(脆弱性の)提出量を管理するための持続可能なプロセス」の有効性を評価することを目的とした監査を開始すると発表。NVDのデータバックログを削減するための戦略や、将来の遅延を防止するための戦略がどれほど有効に機能しているかなどが評価されることになると伝えた。
2023年後半に資金面での困難が直撃して以来、NVDは脆弱性データのエンリッチメントや公開が遅れたり不十分になったりする問題を抱え続けている。CVSSスコアやCPEタグなどのメタデータ無しで公開されるCVEの数が増加するなどの問題により、タイムリーでリッチな脆弱性データを必要とする民間・公共両部門のサイバーセキュリティオペレーションに影響が生じていることは度々話題になってきた。
また、NVDの主要な利用者であるCISAもこの問題による影響を受けている。CISAは長らく、アラートやアドバイザリ、KEVカタログなどを提供するため、NVDから得られるタイムリーかつエンリッチ済みのCVEメタデータに頼っていた。しかしNVD上で「Deffered(遅延/保留)」と記載されるCVEの数が10万件近くなってきたことから、CISAは単一のソースとしてNVDに依存するのをやめ、独自に脆弱性データを公開・エンリッチメントするようになっている。
一方で、CISAをめぐっても、6つの主要部門のうち3部門の責任者と、財務、戦略、インフラのトップが5月末までに退任予定であることや、予算を17%削減するよう議会共和党から求められていることなどが報じられている。またCVE自体も、トランプ政権下での運営資金確保の問題からその存続が危ぶまれるようになってきた。CVEエコシステムが分裂の兆しを見せ始める中、CISAのリソース縮小により、米国政府のリアルタイムで脅威を検知し、優先順位を付け、対応する能力に関する深刻な懸念が生じているという。
そんな中で実施される今回の監査。どのような監査結果が出るのかや、またNISTがどれほど早く有意義なプロセスを提示できるかといった点は、NISTが今後も脆弱性インテリジェンスの中枢であり続けるのか、もしくはこの役割が別の場所で担われるようになるのかなどを左右することになりそうだ。
とは?.jpg)
