脆弱性情報充実化プロジェクト「Vulnrichment」解説

　日本電気株式会社（NEC）は1月31日、CISAが展開する脆弱性情報充実化プロジェクト「Vulnrichment」について、同社セキュリティブログに解説記事を発表した。NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの宇井哲也氏が執筆している。

　「Vulnrichment」はCISA（Cybersecurity and Infrastructure Security Agency：米国サイバーセキュリティ・社会基盤安全保障庁）が展開している脆弱性情報を充実化させるためのプロジェクトで、CISAではCPE、CVSS、CWE、既知の悪用された脆弱性の情報（KEVフラグ）をCVEに付与することに重点を置いているプロジェクトと公表している。

　CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）は脆弱性に対して一意に付与される識別番号で、MITRE社やCNA（CVE Numbering Authority）が採番を行っている。NVD（National Vulnerability Database）はNIST（National Institute of Standards and Technology：米国国立標準技術研究所）が運営しており、CVEとして採番された脆弱性を評価し、CVSSなどの情報を付与している。

　「Vulnrichment」が注目されるようになった経緯について、NISTからNVDで分析が必要な脆弱性のバックログが増え続けているという声明が2024年2月に出されたことで、NVDによる情報提供の遅れが、NVDを唯一の脆弱性情報源として依存しているユーザーにとって、CVSSなど脆弱性に対処するための優先度を正しく判断するために必要な情報が不足するという問題を引き起こしたとし、NVDのデータ更新遅延の問題を解決する1つの手段としてVulnrichmentが注目を集めたとしている。

　Vulnrichmentでは下記の情報を分析し付与している。

・SSVCの決定木の値
・KEVフラグ
・CWE（Common Weakness Enumeration：共通脆弱性タイプ一覧）
・CVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）
・CPE（Common Platform Enumeration：共通プラットフォーム一覧）

　宇井氏は「Vulnrichment」プロジェクトの魅力の1つとして、SSVCの決定木とKEVフラグを活用して、脆弱性の優先度を的確に評価する仕組みを挙げ、これらの情報は、脆弱性管理を担当する人にとって非常に有用で、リスクの把握や効果的な対策を講じるために欠かせないとしている。