DHSの契約更新失敗でCVEプログラムが早期終了の危機

(csoonline.com)

2 ポイント投稿者 GN⁺ 2025-04-17 | 1件のコメント | WhatsAppで共有

MITREのCVEプログラムはサイバーセキュリティの中核要素であり、セキュリティ脆弱性の識別と管理に重要な役割を果たしている
CISAがMITREとの契約を延長し、CVEプログラムの中断を防いだ
契約延長は11か月継続する予定で、これはグローバルなサイバーコミュニティの支持を受けている
契約終了はサイバーセキュリティのエコシステムに大きな影響を及ぼす可能性があり、代替ソリューションが必要になるかもしれない
VulnCheckのような民間部門が、CVEプログラムの空白を埋めるために動いている

DHSとMITREの契約終了危機

MITREのCVEプログラムは25年間維持されてきた重要なサイバーセキュリティデータベースである
DHSが契約を更新しなかったことで、プログラムは中断の危機に直面した
CISAが契約延長を通じてプログラム中断を防いだ

CVEプログラムの重要性

CVEプログラムはグローバルなサイバーセキュリティエコシステムの基盤であり、セキュリティ脆弱性の識別と管理に不可欠である
NISTとCISAが追加情報を提供しているが、MITREがCVE記録の主要な提供元である
プログラムが中断されれば、グローバルなセキュリティ管理に大きな影響を与える可能性がある

契約終了の背景

DHSが契約終了を決定した理由は明確ではない
政府の予算削減が主な原因とみられている
CVEプログラムの運用コストは比較的小さい

今後の見通し

MITREは4月16日から新しいCVE記録を追加しない予定である
既存の記録はGitHubで引き続き提供される見込みである
民間部門が代替ソリューションを提供する可能性がある

1件のコメント

GN⁺ 2025-04-17

Hacker Newsの意見

CVE Foundation に関する議論が進んでいる
MITRE との契約は延長された
CVE Board のメンバーが新しい CVE Foundation を立ち上げ、CVE プログラムの長期的な安定性と独立性を確保しようとしている
DHS 内部の部門間の分断により、この問題の否定的な側面が十分に認識されなかったようだ
CVE プログラムの重要性を認識していない上級財務部門が誤った判断を下したように見える
多くの ycombinator 創業者と Hacker News の読者がこの問題を可能にし、いまその結果に疑問を抱いている
社会にとって重要なほかのものも、ここ数週間のうちにひっそりと消えていた可能性を考えさせられる
現在の CVE 実装には大きな問題があった。特に、スクリプトキディや AI ツールがデータベースをスパムで埋め尽くし、セキュリティを重視するプロジェクトがスコアにほとんど影響を与えられない点が問題だった
OSS ソフトウェアで CVE 管理をしている人たちは、NVD の予算削減がすでに 1 年以上続いていることを知っている
NIST は国家脆弱性データベース（NVD）を維持しており、これは国家サイバーセキュリティ基盤の中核要素である
ソフトウェアの増加に伴って脆弱性も増えており、機関間の支援の変化によって脆弱性対応が難しくなっている
長期的な解決策として、産業界、政府、その他の利害関係者組織によるコンソーシアム設立が検討されている
Yocto Project は CVE Project と CNA に公開書簡を送り、最近の出来事がプロジェクトの脆弱性の特定と解決に悪影響を与えたと懸念を示している
5 年前、Carnegie Mellon の CERT Director が CVE のバックログとリソース不足の問題を公表しており、多くの報告済み脆弱性が CVE 番号を受け取れていない
MITRE の CVE および CWE プログラム参加のための最新契約は、2024年4月17日から2025年4月16日まで USD$29.1m で締結されており、最大で USD$57.8m まで延長される可能性がある
2025年4月16日から2026年4月16日までの契約延長の有無はまだ決まっておらず、代替契約に関する公開された方針もない

DHSの契約更新失敗でCVEプログラムが早期終了の危機

DHSとMITREの契約終了危機

CVEプログラムの重要性

契約終了の背景

今後の見通し

関連ニュース

関連記事

1件のコメント

Hacker Newsの意見