多くのサイバー攻撃が脆弱性を悪用して行われていることからシステムやプログラムの脆弱性を見つけて管理することは今日のデジタル社会において極めて重要な取り組みになっています。脆弱性の管理として世界的に標準化されているのがCVE(共通脆弱性識別子、Common Vulnerabilities and Exposures)ですが、このCVEの運用をめぐりちょっとした「騒動」が起きています。
「契約は満了」MITREが理事に送った書簡
ことの発端はMITRE社副社長のYosry Barsoum氏の署名が入った4月15日付けのMITRE社の書簡だったようです。CVEプログラムはアメリカ政府の支援のもとMITRE社が事務局を担い理事会を組織して管理・運用されているようですが、書簡はその理事会の理事宛に送られたもので「MITREのCVEに対する永続的なサポートに関して重要な潜在的な問題をお知らせします」との書き出しで以下のように綴られていました。
「2025年4月16日をもってMITRE社がCVEおよびCWEなどの関連プログラムの開発・運用を行うための契約が満了となります。政府はプログラムへの支援を継続すべく引き続き努力していますが、プログラムが中断した場合、脆弱性データベースやアドバイザリ、インシデント対応などさまざまな影響が出ることが予想されます」
CVEは1999年にMITREによって提案され、同社がアメリカ政府の支援を受けて管理してきました。アメリカにはCVEとは別にNVD(National Vulnerability Notes)という脆弱性データベースがありますが、NVDはCVEのデータを同期して脆弱性の評価を行っています。また、日本のJVN(Japan Vulnerability Notes)もCVEとの互換認定をしておりCVEは世界の様々な脆弱性データベースの基幹データベースとも言える存在になっています。MITREがCVE理事会の理事に送った書簡は、アメリカ政府とMITREとの契約が終了することでCVEプログラムの運用や管理に大きな影響が出ることを示唆する内容であったことから、書簡がネットに公開されるとサイバーセキュリティ界隈から懸念の声が沸き、メディアの報道も相次ぎました。
CVE財団設立、CISAはMITREへの資金提供継続を表明
CVEプログラムの運営継続に対する不安が増す中、突然、CVE財団の設立が4月16日に発表されました。設立のリリースはCVE財団について「25年間にわたり世界のサイバーセキュリティインフラの重要な柱となってきたCVEプログラムの長期的な存続性、安定性、独立性を保証するために設立された」と表明しています。この財団がどのような人たちによって設立されたのか詳細を把握していないのですが、設立のリリースによるとCVE理事会のメンバーの間にはCVEプログラムが特定の政府スポンサーのもとにあることで持続可能性や中立性に対する懸念があったということです。そしてCVE理事会の理事の間ではCVEを非営利団体に移行するための戦略も練られていたようですから、CVE理事会の理事の間ではかねてよりMITREやアメリカ政府からCVEプログラムを「独立」させることを模索する動きがあったようです。
こうした中、米CISAはMITREへの支援を継続することを明らかにし、MITRE副社長のYosry Barsoum氏は「政府の対応によりCVEプログラムおよびCWEプログラムのサービス停止は回避されました。CISAはこれらのプログラムの運用継続に必要な追加資金を確保しました」とSNSに投稿、「MITREはCVEとCWEをグローバルリソースとして引き続き活用していく」と述べています。この投稿に対するコメントにはCISAの資金提供は問題を先送りするための一時的なものだとする指摘もあり、MITREとCISA、そしてCVE理事会の理事らによって設立されたとみられるCVE財団の三者が現状どのような関係にあるのか今一つ不明ですが、いずれにしてもCVEの運用・管理が今後、どのようになっていくのかはサイバーセキュリティにとどまらずデジタル社会全体に関わる重大な問題ですので、CVEプログラムをめぐる状況を今後も注視していきたいと思います。
■出典・参考
https://www.cve.org/programorganization/Structure