Head Topics

NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう:Cybersecurity Dive

  • 📰 topitmedia
  • ⏱ Reading Time:
  • 40 sec. here
  • 4 min. at publisher
  • 📊 Quality Score:
  • News: 26%
  • Publisher: 51%

会員限定 ニュース

セキュリティ,Cybersecurity Dive

NISTが運営する脆弱性データベース「National Vulnerability Database」(NVD)は、過剰な負担によって機能不全に陥っている。この負債によってユーザーにはどのような不利益が生じるのか。問題点を整理した。

米国国立標準技術研究所(以下、NIST)が運営する脆弱(ぜいじゃく)性データベース「National Vulnerability Database」(以下、NVD)は、増加の一途をたどるソフトウェアとハードウェアの欠陥に圧倒されている。NISTは、再編成と活動の優先順位を付け直すためデータベースの一時停止を要請した。NISTは、2024年2月中旬にNVDの規模を縮小し(注1)、最も重要な脆弱性や活発に悪用されている脆弱性の分析を優先している。NISTは発表の中で、「ソフトウェアの増加に伴う脆弱性の増加や、省庁間のサポートの変化によって活動に遅れが生じた」と述べている。NVDが抱える問題点とは何か。

NISTは政府内からさらなる支援を求め、公共機関と民間企業によるコンソーシアムを結成して長期的な課題に対処し、スタッフの再配置も踏まえてNVDを改善する方法を検討している。暫定的な対処として、分析を一時的に停止して、緊急性が低いと判断した脆弱性の詳細な分析を実施しない方針だ。 NVDに関する作業と成果には目を見張るものがある。Flashpointの調査によると、2023年、同機関は3万3137件の開示を報告した(注2)。これはNVDが初めてオンライン化された2005年から318%増加したもので、過去最高を記録した。サイバーセキュリティ事業を営むRapid7のケイトリン・コンドン氏(リサーチディレクター)は「実際のところ大半の人は、何年も前からNVDの安定した稼働を当然のことと考えていたのだろう」と述べた。

NISTの適時性や透明性、共通脆弱性評価システム(CVSS)におけるスコア、共通プラットフォーム一覧(CPE)、根本原因の特定などに関して時折論争が起こるものの、NVDは長きにわたって高い権威を備え、広く信頼されている脆弱性の情報源だった。 サイバーセキュリティ事業を営むCensysのエミリー・オースティン氏(セキュリティ領域の主任研究者)は「調査や脆弱性管理の領域で働く人々をはじめとするさまざまな専門家が、NVDに信頼を寄せている。NVDは多くの組織で、管理ツールやプロセスに組み込まれており、その重要性はいくら強調してもし過ぎることはない」と話した。サイバーセキュリティの専門家は、NVDにおける作業の遅延の影響は時間の経過とともに顕在化すると予想している。また、一部の脆弱性がNISTの注目を浴びなくなることで、雪だるま式に影響が拡大するとも予測している。脆弱性情報を網羅的に収集できる情報源はNVDの他にも、Mitre Corp.のCVE.

セキュリティ Cybersecurity Dive

 

コメントありがとうございます。コメントは審査後に公開されます。
このニュースをすぐに読めるように要約しました。ニュースに興味がある場合は、ここで全文を読むことができます。 続きを読む:

 /  🏆 93. in JP

日本 最新ニュース, 日本 見出し

Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。

Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット:Cybersecurity DiveMicrosoftはCommon Weakness Enumeration(共通脆弱性列挙)という業界標準の体系を使用して脆弱性を分類すると発表した。これによって事業者たちにはどのような変化やメリットが生じるのか。
ソース: topitmedia - 🏆 93. / 51 続きを読む »

セキュリティ担当者に求められる役割と責任に変化 その背景には何がある?:Cybersecurity DiveMoody’s Ratingsの報告書によると、CISOをはじめとするサイバーセキュリティ担当者の役割と求められる責任に変化が生じている。この背景にはどのような要因があるのか。
ソース: topitmedia - 🏆 93. / 51 続きを読む »

セキュリティベンダーの資金調達は3年ぶりの低水準 採るべきビジネス戦略とは:Cybersecurity DivePinpoint Search Groupによると、2024年第1四半期の資金調達額は23億ドルに達したが、2021年第4四半期の80億ドルと比較すると低い数値となった。資金調達額が縮小する中、大手サイバーセキュリティベンダーはどのようなビジネス戦略を採るのか。
ソース: topitmedia - 🏆 93. / 51 続きを読む »

新たなサイバーインシデント開示規則“CIRCIA”は事業者に何を求めるのか?:Cybersecurity Dive重要インフラプロバイダーに対して、高い影響力を持つと考えられる「2022年重要インフラに関するサイバーインシデント報告法」(CIRCIA)が18カ月以内に施行される。これはいつ施行され、事業体に何を求めるのか。CIRCIAの概要を解説する。
ソース: topitmedia - 🏆 93. / 51 続きを読む »

Mandiant、IvantiのVPNを狙うサイバー攻撃に関する調査を公開 高度な攻撃を観測:Cybersecurity DiveMandiantは、Ivanti Connect Secureを狙ったサイバー攻撃について調査を公開した。これを狙った8つの脅威グループを特定し、侵入後の活動についても報告した。
ソース: topitmedia - 🏆 93. / 51 続きを読む »

そのインシデントは“重大”か? 判断の指標となる定量的/定性的な要素:Cybersecurity DiveSECが定めたサイバーインシデントの報告に関する新しい規則は、被害企業に対し、インシデントの重大性を評価するように求めている。では、それはどのように判断すればいいのか。判断に活用できる定量的/定性的な要素を紹介する。
ソース: topitmedia - 🏆 93. / 51 続きを読む »