記事本文(要約)
国立標準技術研究所(NIST)は、2018年1月1日以前に公開されたすべてのCVEを国家脆弱性データベース(NVD)で「deferred」(延期)と標記することを発表しました。この変更により、NISTは古いCVEに関するNVDのデータ更新を優先しないことを示しています。今後、CVE詳細ページにはこのステータスが表示されますが、更新が必要な情報が得られた場合には、その更新を優先するとしています。
脆弱性の数が増加しているため、NISTは優先度を整理し直す必要があり、特に最近の脆弱性や影響が大きいものに注力するとしています。NISTの計画は過去のバックログを解消することを狙っていますが、最近の人員削減がこの計画に影響を及ぼす可能性があります。
なお、NVDのCVEの延期設定は、脆弱性の深刻度を下げるものではなく、組織は引き続きネットワーク内のすべての脆弱性を対処すべきであると専門家は指摘しています。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 07 Apr 2025 19:00:35 GMT
Original URL: https://www.darkreading.com/vulnerabilities-threats/nist-deferred-status-dated-vulnerabilities
詳細な技術情報
- 潜在的な影響 – この変更は、NVDのデータベース更新優先度に影響を与えるものであり、古いCVEについては即時のデータ更新が行われず、結果として情報が古くなりがちです。しかし、記事中でも強調されていますが、このステータスは脆弱性の深刻度を減少させるものではなく、無視すべきというシグナルを送るものでもありません。これにより、古いCVEを放置することの危険性を過小評価するべきではないという点は重要です。
- 推奨される対策
- 1. 脆弱性のモニタリング: 組織は、NVDや他の信頼できる情報源をモニタリングし、古いCVEであっても不正利用される可能性のある脆弱性を積極的に監視するべきです。
- 2. セキュリティパッチの適用: 古いCVEであっても再発の可能性があるため、関連するパッチが存在する場合、即座に適用することが推奨されます。
- 3. リスク評価と管理: 組織は、自分たちのシステムやネットワーク内で古いCVEによって影響を受ける可能性のある部分を評価し、優先度に基づいて対策を講じるべきです。
- 4. 教育と訓練: セキュリティチームに対して、古いCVEの潜在的な影響と適切な対応方法についての教育を行い、常に最新の情報に基づいた対応ができるようにすることが重要です。
