・国立脆弱性データベース（NVD）は、セキュリティ脆弱性に関する情報の主要な情報源ですが、現在、大量の未処理脆弱性が問題となっています。

➢ 分析されていないCVEが5,799件に上り、重大度のスコアが未定または不正確なものも多いです。NVDは現在、提出されたCVEの約2.9％しか処理できておらず、以前のペースから大幅に遅れています。
➢ この問題にどう対処するかがセキュリティチームにとって重要な課題となっています。

・NVDとは、米国の国立脆弱性データベースで、ハードウェアとソフトウェアのセキュリティ脆弱性を追跡し、公開しています。
➢ このデータベースは、組織が脆弱性管理を自動化し、新しい脆弱性に対応するのに役立ちます。NVDは2000年に開始され、2021年には15万件の脆弱性を記録しました。
➢ また、脆弱性の重大度をCVSSシステムで評価し、これは初期の評価と異なる場合があります。NISTが無料で提供するこのリストは、他のどの組織や企業よりも包括的です。

バックログの問題とは？
➢ NVDのCVE分析の遅れは、セキュリティ問題が毎日修正されているにもかかわらず、管理者やセキュリティ研究者にとって問題です。
➢ セキュリティ専門家はこの問題の迅速な対処や代替案の必要性を警告しています。NVDが情報を一元化しているため、個々のベンダーは自社製品の脆弱性を公開する責任がありますが、これにより管理者は情報を個別に追跡する責任を負
います。
➢ また、NVDは重大度スコアの信頼される情報源であり、そのスコアリングがなければ、研究者やベンダーが代わりにスコアを割り当てることになりますが、これには企業が意図的にスコアを操作するリスクが伴います。

このバックログはどのようにして発生したのか？
➢ NISTは新しい脆弱性の処理が遅れている具体的な理由を明確にしていませんが、2月に「ソフトウェアの増加と省庁間サポートの変化」が原因で脆弱性のバックログが増加したと述べました。
➢ また、最近の資金法案によりNISTの予算は約12％削減され、追加のスタッフを配置換えしてバックログに対処しているとも発表しました。市場に出回るソフトウェアの増加に伴い、毎年公開される脆弱性の数は増え続け、昨年は28,961件のCVEが公開され、前年から15％増加しました。

どのような解決策が考えられるか？
・ NISTはNVDを再活性化しようとしていますが、具体的な解決策や代替案はまだ明らかにされていません。シスコのエンジニアによると、全CVEを追跡・評価するような大規模な取り組みを行う組織は現れていない状況です。
・ 他の脆弱性カタログもありますが、例えばCISAのカタログは実際に悪用された脆弱性のみを扱っています。民間企業や非営利団体が独自ソリューションを提供する可能性もありますが、資金や人員が大量に必要とされます。NISTはコンソーシアムの設立を進めていますが、具体的な時期や詳細は未定です。
・ 現在は実績のあるパッチ適用戦略を続け、NVDのバックログに左右されないツールを使用してパッチプロセスを効率化するのが最善です。