CISA

CISAによると、米国政府は重要な共通脆弱性・暴露(CVE)プログラムの継続性に問題が生じないよう、MITREの資金提供を延長した。

「CVEプログラムはサイバー・コミュニティにとって非常に貴重であり、CISAの優先事項である。「昨夜、CISAは、重要なCVEサービスの停止がないことを確実にするために、契約のオプション期間を実行した。パートナーや関係者の忍耐に感謝する。”

は、契約の延長が11ヶ月間であることを知った。

今回の発表は、MITREのYosry Barsoum副社長による、CVEおよびCWEプログラムに対する政府資金が本日4月16日に期限切れとなり、サイバーセキュリティ業界全体に広範な混乱が生じる可能性があるとの警告を受けたものです。

「サービス停止が発生した場合、国家脆弱性データベースやアドバイザリ、ツールベンダー、インシデント対応業務、あらゆる重要インフラの機能低下など、CVEにさまざまな影響が及ぶことが予想されます。

MITREは、米国国土安全保障省(DHS)の国家サイバーセキュリティ部門からの資金提供を受けて、セキュリティ脆弱性について議論する際に正確性、明確性、共有基準を提供する、広く採用されているプログラムであるCVEを維持しています。

この記事の公開後、MITREは以下の声明を.

.fan_quote { width: 85%; margin: auto; font-size: 16px; font-weight: 300; font-family:line-height: 1.2; color:#padding: 35px 10px 35px35px 10px 35px 40px; display: block; position: relative; box-sizing: border-box; box-shadow: inset 0 0 0 7px rgba(255, 255, 255, 0.07), 4px 4px 4px rgba(0, 0, 0, 0.15); background-color:#} .fan_quote:before { width: 30px; height: 20px; position: absolute; left: 10px; top:10px; content:”; background: url(‘https://www.bleepstatic.com/css/fanquote/dark-quote.png’) no-repeat; } .fan_quote:after { width: 30px; height: 20px; position: absolute; right: 20px; bottom:15px; content:”; background: url(‘https://www.bleepstatic.com/css/fanquote/quote.png’) -40px 0px no-repeat; } .fan_quote > a { font-family: sans-serif; font-size: 14px; color:#text-decoration: none; float: right; } .fan_quote > a:hover { color:} .fan_quote > a:hover { color: #ace; }

「政府による措置のおかげで、Common Vulnerabilities and Exposures (CVE®) Program および Common Weakness Enumeration (CWE™) Program のサービス停止は回避されました。2025年4月16日(水)午前の時点で、CISAはこれらのプログラムの運用を維持するための段階的な資金提供を確認しました。この24時間の間に世界のサイバーコミュニティ、産業界、政府から表明されたこれらのプログラムへの圧倒的な支持に感謝する。政府は、プログラムにおけるMITREの役割を支援するために多大な努力を続けており、MITREはグローバルリソースとしてCVEとCWEに引き続きコミットしています。”

マサチューセッツ工科大学国土安全保障センター副所長 ヨスリー・バルスーム ❖ MITRE

新たに設立されたCVE財団

CISAの発表に先立ち、CVE理事会のメンバーグループは、米国政府がCVEプログラムの管理契約を更新しない可能性があるというMITREの警告を踏まえ、CVEプログラムの独立性を確保するために設立された非営利団体、CVE財団の発足を発表した。

「発足以来、CVEプログラムは米国政府出資のイニシアティブとして運営され、監督と管理は契約に基づいて行われてきた。「この構造はプログラムの成長を支えてきたが、同時にCVE理事会のメンバーの間では、世界的に信頼されているリソースが単一の政府スポンサーに縛られることの持続可能性と中立性についての長年の懸念が提起されてきた。

この1年間、立ち上げに関わった人々は、プログラムをこの専門財団に移行させ、”脆弱性管理のエコシステムにおける単一障害点 “を排除し、”CVEプログラムが世界的に信頼され、コミュニティ主導のイニシアチブであり続ける “ことを確実にするための戦略を練ってきた。

CVE財団は今後数日のうちに移行計画に関するさらなる情報を発表する予定だが、特にCISAがMITREの契約に対する資金提供が延長されたことを確認したことを考えると、次のステップは依然として不透明だ。

欧州連合サイバーセキュリティ機関(ENISA)も欧州脆弱性データベース(EUVD)を立ち上げた。

更新 4/16/25 11:07 AM ET:契約延長期間に関する情報を追加。