ちょうどトランプ関税がIT予算の縮小につながる可能性があるといった記事を書いて直ぐに、システム運用の人にはインパクトがあるニュースが飛び込んできました。
MITRE（The Mitre Corporation）が米国政府予算の不透明性によって脆弱性情報データベース（CVE）プログラムの運営継続に支障が出る恐れがあると警告したと報じられました。

このニュースを受けて、4/16にCVE Foundation（CVE財団）の設立が発表されました。
財団の設立目的は、「25年間にわたって世界のサイバーセキュリティインフラの重要な柱として機能してきたCVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）プログラムの長期的な存続性、安定性、独立性を確保する」ことという事で、アメリカ単独での運営から、国際的な組織に移行することを目指しています。

CVE Foundation
https://www.thecvefoundation.org/

ところがその直後、4/16には米国サイバーセキュリティー・インフラセキュリティ庁(CISA)はMITREとの契約を発表。その期間は11カ月と見込まれておりますが、その後については不明です。

現状でのCVEは非営利組織MITRE（The MITRE Corporation）が管理しており、新しい脆弱性情報が公開される際は「CVE識別番号（CVE-ID）」が割り振られて一緒に公開されます。
CVE-IDは、CVE-YYYY-NNNNという形式で、YYYYは年、NNNNはその年に登録された脆弱性の通し番号です。例えば、CVE-2023-12345は2023年に登録された12345番目の脆弱性を指します。

そして、多くのセキュリティ検査ツールやパッチ管理ツールなどでは、セキュリティ情報としてこのCVE-IDが利用されています。
言い換えれば、CVEが無ければ様々な組織がそれぞれ独自の名前、識別子を与え、脆弱性の情報共有が混乱する事が予想されます。結果的にセキュリティー対策に遅れが生じて、被害が拡大する可能性が高いです。

結果的にはセキュリティー対策で、世界的に利用されているCVEがアメリカ一国の費用負担による運営によって、文字通りの単一障害点を持つことが明白になりました。これまでにもUSAID（米国国際開発庁）が関与する支援活動の予算をカットするなど、米国政府の予算削減が世界中に大きく影響を及ぼしています。
同様に米国に依存しているシステムといえば、例えばGPSも代替サービスが存在しないため、万が一、予算削減の対象となれば、世界中でその影響を受ける可能性があります。

これまで暗黙のうちに前提としていたものが、実は脆弱なものであったという事が、最近のニュースで明らかになってきました。CVEの今後の動向に注目する必要がありますが、米国政府の予算削減の影響は、CVEに限らず、様々な分野で影響が出てくる可能性があります。
特に、サイバーセキュリティの分野では、国際的な協力が不可欠であり、米国政府の予算削減が他国との連携や情報共有にどのような影響を与えるかは、今後の課題となるでしょう。