National Vulnerability Database(NVD)は通常、セキュリティの脆弱性に関連したすべての情報の信頼できる唯一の情報源です。
しかし現在、NVD は大量の脆弱性バックログとの困難な闘いに直面しています。バックログの中にはまだ分析を待っているものもあれば、シビラティ(重大度)スコアがまだ不正確であるか完全に欠落しているものもあります。
4 月 9 日の時点で、2024 年 2 月 15 日以降に公開された 5,799 件の CVE がまだ分析されていません。
バックログが積み重なっていく中、米国政府のリポジトリに提出される脆弱性の処理、スコアリング、分析に関して、NVD がいつどのように通常のペースに戻るのかは不明です。NVD の現在のペースは例年と比べ大幅に遅れており、分析しているのは、今年これまでに送信された全公開 CVE の約 2.9% です。仮に、今日新しい CVE が 1 つも提出されなかったとしても、NVD のバックログが空になり処理が追いつくまでに 91 日以上かかる計算になります。
NVD と脆弱性管理の状態を考慮すると、NVD の現状、ここに至った経緯、セキュリティチームに及ぼす影響、今後の展開について検討する価値があると考えました。
NVD とは?
米国の NVD(National Vulnerability Database)は、CVE の最も包括的なリストを提供しています。NVD はハードウェアとソフトウェアのセキュリティの脆弱性を追跡しており、脆弱性のリストは、誰でも使用できるように一般に配布されます。
組織や大規模ネットワークは、このデータを基に脆弱性管理を自動化して、新しい脆弱性が発見されたときに適切なセキュリティ対策を講じることができます。特定の脆弱性の深刻さを示す重要な参考および指標となるものです。
米国国立標準技術研究所(NIST)は、NVD が I-CAT(Internet Category of Attack Toolkit)として開始された 2000 年以来、NVD を管理してきました。I-CAT は最終的に現在の NVD となり、2021 年には脆弱性の数が 15 万件を超えました。
NVD は、定期的に公開される CVE を単にリストするだけでなく、CVSS(共通脆弱性評価システム)を使用して脆弱性のスコアを付けます。多くの場合、脆弱性を発見した研究者や、影響を受ける製品やソフトウェアを所有する企業や組織によって割り当てられる最初の重大度スコアとは異なるスコアになります。
I-CAT の創設以来、NVD ほど包括的な脆弱性リストを持っている組織や民間企業はなく、NIST のように無料でリストを提供しているところもありません。
バックログが問題である理由
表面的には、NVD による CVE の分析が遅れているという事実はそれほど深刻ではないように思えるかもしれません。というのも、セキュリティ問題はそれでも毎日公開されていて、パッチが適用されているからです(Microsoft 社の月例セキュリティ更新プログラムを考えればわかると思います)。
ただし、信頼できる唯一の情報源である CVE の追加情報が不足していることは、管理者、セキュリティ研究者、ユーザーにとって不利益な状況であり、セキュリティ専門家は、この問題に迅速に対処するか、代替案を採用する必要があると警告しています。
NVD がこれらすべての情報の集合体であることを考えると、自社製品で発見された脆弱性を開示およびリリースするのは各ベンダーの責任であり、その情報を追跡する責任は管理者にあります。ネットワークのパッチ管理担当者が NVD の情報に依存していた場合、そのリストは現時点では古くなっている可能性が高いため、代わりに各ベンダーが提供している情報にアクセスし、自社で使用している製品に関して最近公開された脆弱性について調べ、脆弱性がもたらすリスクの大きさを把握する必要があります。
どのようなネットワーク上にも、数十から数百のベンダー製品が接続されているでしょう。Apple 社や Microsoft 社のような大企業の製品であれば、セキュリティと脆弱性の情報に簡単にアクセスできますが、小規模なオープンソースプロジェクトには管理者が必要とするようなリソースが存在しない可能性があります。
NVD は、重大度スコアの最も信頼できる情報源でもあります。通常、ほとんどのユーザーがセキュリティアドバイザリを読むときに目にするのが、スコアの計算結果です。しかし、この項目がなければ、代わりに研究者やベンダーがスコアを割り当てることになります。このシステムでは、それほど深刻ではない脆弱性だと思われるように、高めのスコアを付けたくないと企業が考えるかもしれません。一方で研究者が、より深刻な問題を発見したという評価を得るために、自分が発見した問題の重大度を上げようとする可能性もあります。
Talos が以前取り上げたように、CVSS スコアはパッチを適用する際に信頼できる唯一の指標ではありませんが、一般のユーザーが脆弱性をどのように見ているか、また、脆弱性が悪用される可能性が高いかどうかに関して大きな役割を果たしています。Talos の 2023 年版『一年の総括』レポートによると、昨年最も悪用された 10 件の CVE のうち 8 件は、重大度スコアが 9.3 点以上でした。CVSS スコアに対する信頼性が薄れると、パッチ管理における「羅針盤」がなくなり、管理者が頭を悩ませることになるかもしれません。
最近の xz Utility の脆弱性は、幸いにも攻撃者に悪用される前に防ぐことができましたが、バックログが原因で、4 月 10 日の時点でまだ Common Weakness Enumeration(CWE)が割り当てられていません。この脆弱性を突くエクスプロイトが使用された場合、バックドアから防御するための重要なコンテキストと情報を防御担当者が見逃すことになります。
バックログが発生した経緯
NIST は、新たな脆弱性の処理に時間がかかる理由について、比較的曖昧な説明に終始してきました。問題の最初の兆候は今年 2 月に見られました。NIST は「ソフトウェアの増加、それによる脆弱性の増加、および省庁間のサポートの変更」が原因で「脆弱性のバックログの増加」が発生したという声明を発表しました。
最近米国議会で可決された資金調達法案を受けて、NIST の予算も約 12% 削減されました。
また NIST は 2 月に、バックログに対応するために追加のスタッフを配置転換していると発表し、最近の VulnCon と年次 CNA サミットで NVD プログラムディレクターが、NIST は NVD の問題に対処するためのコンソーシアムを開発中であると断言しています。
公開される脆弱性の総数は毎年増え続けていますが、これは市場に出回っているソフトウェアの量が増え、セキュリティ上の懸念やリサーチに対する可視性が高まっていることが要因となっています。CVE プログラムによると、昨年は 28,961 件の CVE が開示され、2022 年から 15% 増加しました。1 年間に割り当てられた CVE が前年比で減少したのは 2016 年が最後です。
考えられる解決策
NIST は NVD を公的にサポートし続けており、データベースを活性化する準備を進めていると述べています。しかし、短期的、長期的にどのような解決策や代替策が存在するかは不明です。
Cisco Vulnerability Management の脅威検出・対応のプリンシパルエンジニア Jerry Gamblin は、「すべての」CVE を追跡してスコアを付けるという途方もないタスクを引き受けようという企業や組織はまだ存在せず、特に無料では難しいと述べました。
サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の「悪用が確認された脆弱性カタログ(KEV)」のような他の脆弱性カタログも存在しますが、KEV に記載されているのは実際に悪用されている脆弱性のみです。
つまり、考えられる代替策はすべて不完全だということになります。
「データはどこからでも入手できるし、AI のデータも役に立つかもしれません。ただ、人間は判断しなければなりません」と Gamblin は語っています。「データの情報源は 1 つだけになるのか、データの信頼できる情報源は誰か、データの所有者は誰なのか、といったことです」
MITRE のような民間企業が独自のソリューションを開発する可能性はありますが、おそらくそのデータベースへのアクセスは有料になるでしょう。非営利組織でもこの取り組みを行おうとする場合、毎日寄せられる膨大な量の CVE に対処するために、同じように大量の資金と人員をつぎ込む必要があるでしょう。
NIST はコンソーシアムを準備中だとしていますが、設立までにどれくらいの時間がかかるのか、どの民間企業が参加するのかといった予定は明らかになっていません。
現時点では、長年にわたって有効性が実証済みのパッチ適用戦略を継続するのが最善です。NVD バックログの影響を受けない Cisco Vulnerability Management などのソフトウェアも、パッチ適用プロセスの自動化や、最初にパッチを適用する脆弱性の優先順位付けに役立ちます。
本稿は 2024 年 04 月 19 日にTalos Group のブログに投稿された「What’s the deal with the massive backlog of vulnerabilities at the NVD?」の抄訳です。