共通脆弱性識別子(CVE)データベースを管理する非営利団体MITREは4月15日、同データベースの運用に対する米国政府からの資金提供が更新なしで終了すると発表しました。しかし、4月16日朝、土壇場でこの方針を撤回し、CISAはデータベースへの支援を延長すると発表しました。同時に、CVE理事会のメンバーは、CVEプログラムの維持管理を目的として、米国連邦政府とは無関係の非営利団体であるCVE財団を設立しました。
1999年から実施されているCVEプログラムは、脆弱性の報告と追跡に不可欠な手段です。Microsoftの月例パッチの更新やレポートなど、他の多くのサイバーセキュリティ関連リソースも、CVE番号を参照して欠陥や修正を特定しています。CVE採番機関と呼ばれる組織はMITREと提携しており、CVE番号の割り当て権限を有しています。
「CVEは、脆弱性管理、インシデント対応、そして重要インフラ保護の取り組みの大部分を支えています」と、クラウドソーシング型サイバーセキュリティハブ「Bugcrowd」の創設者であるケイシー・エリス氏はTechRepublicへのメールで述べています。「サービスの突然の中断は、短期間で国家安全保障上の問題に発展する可能性が非常に高いのです。」
MITREは更新しないと資金が枯渇すると予想されていた
CVE理事会メンバーに送られた手紙は火曜日にソーシャルメディア上で広まり始めた。
「MITREがCVEやCWEなどの関連プログラムを開発、運用、最新化するための現在の契約方法は期限切れとなる」とMITRE傘下の国土安全保障センターの副社長兼ディレクター、ヨスリー・バルスーム氏は書簡で述べた。
CWE は Common Weakness Enumeration の略で、ハードウェアとソフトウェアの脆弱性のリストです。
「政府は、このプログラムを支援するMITREの役割を継続するために、引き続き多大な努力を続けている」とバルソウム氏は書いている。
MITRE は伝統的に国土安全保障省から資金提供を受けています。
ダウンロード: 弊社のあらかじめ作成されたカスタマイズ可能なネットワーク セキュリティ ポリシーで会社を保護します。
MITRE社は、有効期限切れの原因やサイバーセキュリティ専門家が次に何を期待できるかについてのTechRepublicの質問には回答しなかった。
財団は、資金削減が政府効率化省(DOGE)による広範囲にわたる人員削減と関係があるかどうかについては明らかにしていない。
CVE財団は過去1年間、新しいシステムの基礎を築いてきました。
CISAの発表に先立ち、ある独立系財団がCVEプログラムの継続に介入する用意があると表明していました。CVE財団は、CVE提出プログラムとデータベースの維持管理に専念する非営利団体です。
「このような日が来ないことを願っていましたが、その可能性に備えて準備を進めてきました」と、CVE財団の匿名の代表者は水曜日のプレスリリースで述べています。「これを受けて、長年活動してきたCVE理事会メンバーの連合は、過去1年間、CVEを専門の非営利財団に移行するための戦略を策定してきました。」
CVE財団は、その組織構造、タイムライン、そして今後の関与の機会について詳細を公表する予定です。CISAが資金提供を拡大しているため、財団はまだ必要とされないかもしれません。しかし、そのサービスとバックアップが利用可能であることは安心材料となるかもしれません。
