脆弱性管理CVE、資金問題に揺れつつも継続

CISAの声明

　CSOの15日付けの記事によれば、非営利の研究開発組織MITREは、同組織が管理する共通脆弱性識別子(CVE)データベースを維持するために米国国土安全保障省(DHS)と締結した資金提供の契約が4月16日深夜に期限切れとなるため、CVEプログラムが終了する可能性があると報じられた。これにより、脆弱性識別の中核となるCVE番号の発行や管理に支障をきたす。

　CVEプログラムは、ソフトウェアやハードウェアの脆弱性に一意の識別子を割り当てる仕組みで、セキュリティ分野の国際的な基盤となっている。そのため、資金提供の打ち切りは大きな波紋を呼んだ。CSOの記事の追記によれば、資金提供は11カ月間とのこと。

　これに対しDHS傘下のCISA(米サイバーセキュリティ・インフラセキュリティ庁)は公式声明を発表。声明の中で「CVEプログラムはサイバーコミュニティにとって極めて重要であり、CISAにとっても優先事項だ」としており、契約のオプション期間を行使してCVEサービスが中断なく継続されることを明らかにした。