アメリカ国家標準技術研究所(NIST)は、国家脆弱性データベース(NVD)の運用方法に大きな調整を行った。今後は、すべての一般的な脆弱性公開(CVE)の一括分析を行わず、実際のリスクが高い脆弱性を優先的に処理する「リスクに基づく選別」体系に移行する。この措置は、急増するCVE提出量に現行の方法では対応しきれなくなったためである。NISTによると、2020年から2025年までにCVE提出数は263%増加し、2026年第1四半期の提出量も前年同期比で約3分の1増加している。NISTは、2025年には約4.2万件のCVE情報を強化し、前年より45%増加させたものの、それでも増加速度に追いついていないと説明している。今後は「最も危険な脆弱性」から分析を開始新基準により、NISTは以下の3条件を満たすCVEのみを「完全強化」する優先順位を付ける。条件は、米国サイバーセキュリティ・インフラ安全保障局(CISA)の「既知の悪用脆弱性」リストに掲載されていること、米国連邦政府が使用するソフトウェアに影響を与えること、第14028号行政命令に関連する「重要なソフトウェア」製品に影響を与えること。特に、CISA KEVリストに掲載された脆弱性については、提出後1営業日以内に強化を完了させることを目標とする。一方、リストに含まれないCVEは引き続きNVDに登録されるが、「未定日程」と分類される。この場合、安全チームがパッチの優先順位を決定する際に参照するリスク評価や製品情報は自動的に追加されない。2024年以来の滞留作業の整理NISTはまた、2024年初頭から蓄積された作業量も一括して整理する計画だ。原則として、2026年3月1日までにNVDに公開されているが未強化のCVEは「未定日程」に移される。ただし、KEVリストに掲載された脆弱性は今回の整理範囲外となる。一部のプロセスも簡素化される。CVE番号発行機関(CNA)が既にリスク評価を提供している場合、NISTは同じスコアの再計算を行わない。また、既に修正されたCVEについても、更新ごとに再分析は行わず、強化データに実質的な影響を与える変更のみ再審査する。AIが脆弱性報告増加の背景と指摘される理由NISTは直接的に人工知能(AI)が原因と明言していないが、業界ではAIがCVE増加の主要因の一つと考えられている。アイデンティティ脅威検知・対応企業SlashIDの共同創設者兼CEOのヴィンセンツォ・ジョジョは、「AIによる検出済み脆弱性報告の激増」と述べ、「分析によると、昨年だけでも報告された脆弱性の数は倍以上に増加した」と指摘している。彼は今回の方針変更について「合理的な調整だ」と評価し、「最も重要なカテゴリは引き続き処理される」と述べた。また、大規模言語モデル(LLM)の性能向上に伴い、各組織は自らの環境に基づいて脆弱性の優先順位や背景を判断できるようになり、外部の「強化CVE」への依存度も徐々に低下すると予測している。「今はCVEスコアだけを待つ時代ではない」RunSafe Securityの最高技術責任者シェーン・フレイは、この発表が業界に明確なシグナルを送ったと指摘する。彼は「これまでCVEスコアが出るのを待って対応していた時代は終わった」と強調した。フレイは、脆弱性の可視性は本質的に不完全であるため、企業や組織は単一のデータベースだけに頼るべきではなく、複数の脆弱性情報源を組み合わせてより正確な判断を下す必要があると補足した。また、ソフトウェアに未公開の未知の脆弱性が存在する可能性を前提に、パッチや公式スコアの公開前でも利用される攻撃を阻止できる防御体制を構築すべきだとも述べている。今回の改革は、市場構造の変化に近く、単なる行政的調整ではない。脆弱性の激増に伴い、すべてのプロジェクトを同等の深さで分析する従来の方法は限界に達しており、最終的にNISTは「優先順位」を中心とした方向へと舵を切った。セキュリティ実務の分野では、今後はNVDのスコアを待つだけでなく、脅威情報や資産状況と連携してより迅速に判断できる能力がより重要になるだろう。TP AI 注意事項 本文はTokenPost.ai言語モデルによる記事要約です。主要内容の抜けや事実と異なる可能性があります。
米国国家標準技術研究所、脆弱性データベース運営の全面改革…「高リスクCVE」から強化開始
アメリカ国家標準技術研究所(NIST)は、国家脆弱性データベース(NVD)の運用方法に大きな調整を行った。今後は、すべての一般的な脆弱性公開(CVE)の一括分析を行わず、実際のリスクが高い脆弱性を優先的に処理する「リスクに基づく選別」体系に移行する。
この措置は、急増するCVE提出量に現行の方法では対応しきれなくなったためである。NISTによると、2020年から2025年までにCVE提出数は263%増加し、2026年第1四半期の提出量も前年同期比で約3分の1増加している。NISTは、2025年には約4.2万件のCVE情報を強化し、前年より45%増加させたものの、それでも増加速度に追いついていないと説明している。
今後は「最も危険な脆弱性」から分析を開始
新基準により、NISTは以下の3条件を満たすCVEのみを「完全強化」する優先順位を付ける。条件は、米国サイバーセキュリティ・インフラ安全保障局(CISA)の「既知の悪用脆弱性」リストに掲載されていること、米国連邦政府が使用するソフトウェアに影響を与えること、第14028号行政命令に関連する「重要なソフトウェア」製品に影響を与えること。
特に、CISA KEVリストに掲載された脆弱性については、提出後1営業日以内に強化を完了させることを目標とする。一方、リストに含まれないCVEは引き続きNVDに登録されるが、「未定日程」と分類される。この場合、安全チームがパッチの優先順位を決定する際に参照するリスク評価や製品情報は自動的に追加されない。
2024年以来の滞留作業の整理
NISTはまた、2024年初頭から蓄積された作業量も一括して整理する計画だ。原則として、2026年3月1日までにNVDに公開されているが未強化のCVEは「未定日程」に移される。ただし、KEVリストに掲載された脆弱性は今回の整理範囲外となる。
一部のプロセスも簡素化される。CVE番号発行機関(CNA)が既にリスク評価を提供している場合、NISTは同じスコアの再計算を行わない。また、既に修正されたCVEについても、更新ごとに再分析は行わず、強化データに実質的な影響を与える変更のみ再審査する。
AIが脆弱性報告増加の背景と指摘される理由
NISTは直接的に人工知能(AI)が原因と明言していないが、業界ではAIがCVE増加の主要因の一つと考えられている。アイデンティティ脅威検知・対応企業SlashIDの共同創設者兼CEOのヴィンセンツォ・ジョジョは、「AIによる検出済み脆弱性報告の激増」と述べ、「分析によると、昨年だけでも報告された脆弱性の数は倍以上に増加した」と指摘している。
彼は今回の方針変更について「合理的な調整だ」と評価し、「最も重要なカテゴリは引き続き処理される」と述べた。また、大規模言語モデル(LLM)の性能向上に伴い、各組織は自らの環境に基づいて脆弱性の優先順位や背景を判断できるようになり、外部の「強化CVE」への依存度も徐々に低下すると予測している。
「今はCVEスコアだけを待つ時代ではない」
RunSafe Securityの最高技術責任者シェーン・フレイは、この発表が業界に明確なシグナルを送ったと指摘する。彼は「これまでCVEスコアが出るのを待って対応していた時代は終わった」と強調した。
フレイは、脆弱性の可視性は本質的に不完全であるため、企業や組織は単一のデータベースだけに頼るべきではなく、複数の脆弱性情報源を組み合わせてより正確な判断を下す必要があると補足した。また、ソフトウェアに未公開の未知の脆弱性が存在する可能性を前提に、パッチや公式スコアの公開前でも利用される攻撃を阻止できる防御体制を構築すべきだとも述べている。
今回の改革は、市場構造の変化に近く、単なる行政的調整ではない。脆弱性の激増に伴い、すべてのプロジェクトを同等の深さで分析する従来の方法は限界に達しており、最終的にNISTは「優先順位」を中心とした方向へと舵を切った。セキュリティ実務の分野では、今後はNVDのスコアを待つだけでなく、脅威情報や資産状況と連携してより迅速に判断できる能力がより重要になるだろう。
TP AI 注意事項 本文はTokenPost.ai言語モデルによる記事要約です。主要内容の抜けや事実と異なる可能性があります。