NIST、ついに“脆弱性の全件分析”を断念 CVE爆増でパンク状態、方針転換:開発現場の脆弱性管理はどう変わる?
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。
米国国立標準技術研究所(NIST)は2026年4月15日(米国時間、以下同)、「NVD」(National Vulnerability Database:脆弱《ぜいじゃく》性情報データベース)における「CVE」(Common Vulnerabilities and Exposures:共通脆弱性識別子)の取り扱い方針を大幅に変更すると発表した。急増する脆弱性報告に対応するため、従来の「全件分析」から、リスクベースで優先順位を付ける運用モデルへと移行する。
これまでNVDは、登録された全てのCVEに対して、共通脆弱性評価システム(CVSS)による深刻度スコアや影響を受ける製品などの詳細情報を付与し、セキュリティ担当者が対応優先度を判断できるよう支援してきた。しかしこのモデルは、近年のCVE件数の爆発的な増加によって限界を迎えていた。
実際、CVEの提出件数は2020〜2025年の間に263%増加。2026年もその勢いは衰えず、年初3カ月だけで前年同期比約3分の1増となっている。NISTは2025年に約4万2000件のCVEを処理し、過去最高を45%上回る生産性を達成したが、それでも増加ペースには追い付いていない。こうした状況を受けて、NISTは新たに優先順位付け基準を導入した。その詳細とは。
CVE急増で限界露呈 NISTの新リスクベース運用の詳細とは?
NISTは2026年4月15日以降、以下のCVEを優先的に対象とする。
- 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)に掲載されたCVE(原則1営業日以内に対応)
- 米連邦政府で使用されるソフトウェアに関するCVE
- 「国家のサイバーセキュリティ強化」に向けた大統領令14028号で定義される重要ソフトウェアのCVE
これらに該当しないCVEも引き続きNVDに登録されるが、「未スケジュール」として扱われる。ユーザーは必要に応じて個別に分析をリクエストできる仕組みとなる。
また、深刻度スコアの付与についても見直される。従来は、CVE番号付与機関(CNA)が既にスコアを提供している場合でも、NISTが独自にスコアを算出していたが、今後はこの重複作業を原則廃止する。
さらに、CVEの再分析プロセスも簡素化される。従来は変更があった全てのCVEを再分析していたが、今後は内容に重大な影響がある場合に限定される。未処理のバックログ問題にも手が入る。2024年初頭以降に蓄積された大量の未分析CVEについて、2026年3月1日以前に公開されたものは原則として「未スケジュール」に移行する。新基準に基づき、リソースの許す範囲で再評価される。
この他、CVEのステータス表示の見直しや、リアルタイムで状況を可視化するダッシュボードの強化も実施される。NISTは、これらの変更により、現在の負荷を管理しつつ、長期的には自動化やワークフロー改善を進め、NVDの持続可能性を確保するとしている。
〜記者の目:ニュースをちょっと深掘り〜
今回のNISTの決定を理解するには、単なる「件数増」ではなく、なぜここまでCVEが急増したのかを押さえる必要がある。背景には、ソフトウェア開発の構造変化がある。オープンソースの爆発的普及により、一つのアプリケーションが数百から数千の依存関係を持つのが当たり前になった。単一のライブラリの脆弱性が広範囲に波及するため、報告対象そのものが激増している。
加えて、SBOM(ソフトウェア部品表)への関心の高まりや規制強化も大きい。大統領令14028号以降、ソフトウェア構成の透明性が求められるようになり、これまで見過ごされていた軽微な欠陥もCVEとして登録される傾向が強まった。セキュリティ研究者だけでなく、企業や自動化ツールによるスキャン結果がCVEとして提出されるケースも増えており、「人の手で個別に発見される脆弱性」から「機械によって大量検出される脆弱性」へと性質が変わっている。
つまり現在のCVE急増は脅威の増大だけでなく「可視化の進展」と「報告の民主化」がもたらした側面が大きい。その結果、重要度のばらつきが極端に広がり、従来のように全件を同じ粒度で扱うこと自体が非合理になった。
こうした構造変化を踏まえると、NISTがリスクベースに舵を切ったのは必然だ。KEVのように悪用が進んでいる脆弱性や、政府利用・重要インフラに関わるものに集中することで、「本当に危険なもの」を優先的に可視化する。一方で、それ以外のCVEは“存在はするが意味づけは各自でする”という前提に変わる。
この変化が現場に突きつけるのは、脆弱性管理の主導権の移行だ。これまでのようにNVDのスコアや付加情報に依存するのではなく、自社の資産状況や攻撃可能性を踏まえてリスクを再評価する力が求められる。「本当に守りたい情報は何か」「もし被害に遭ったらビジネスにどのような影響が生じ得るか」などを加味した優先順位付けが不可欠になるだろう。
今後はNVDを“唯一の正解”とする時代から、複数の脆弱性インテリジェンスを組み合わせる時代に移行する。NISTの今回の決定は、その変化を促進させるトリガーであり、「脆弱性は増え続ける」という前提に立った現実的な再設計といえる。問題は、各組織がこの新しい前提にどこまで適応できるかだ。(田渕聖人)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
【実録】自社に届いたCEO詐欺メールを徹底解析 狙われる企業に共通する3つの「隙」
「社長からの一通」を疑えますか――。本稿では実際に自社に届いたCEO詐欺メールを徹底解析。受信トレイ上の表示や自然過ぎる文面、返信先のすり替えなど簡単に見抜けない巧妙な仕掛けを解説します。
ガートナー、日本企業のインシデントパターンを分析 10個の脅威・リスクを公表
見えている脅威だけを追い続けていては、もう守りきれない。ガートナーは国内におけるセキュリティインシデントの傾向として「10の発生パターン」を公開した。ランサムウェア攻撃だけでなく、AIやSNS時代ならではのリスクが判明している。
4分の1の生成AIアプリが“静かに事故る” MCP時代の落とし穴をGartnerが指摘
AIエージェントの普及が進む中、その裏で見過ごされがちな異変が増え始めている。ガートナーは2028年までに、4分の1の企業向け生成AIが年間複数の軽微なインシデントに見舞われると予測した。利便性と引き換えに広がるリスクの正体と対策の勘所とは。
RSA暗号の“失敗”を成功と誤認 OpenSSLで未初期化メモリが漏えいする恐れ
OpenSSLに複数の脆弱性が見つかった。特定の条件下で不適切な処理により情報漏えいにつながるものもあるという。影響範囲は複数バージョンに及び、プロジェクトは修正済みバージョンへの更新を呼び掛けている。問題の背景には何があるのか。
「ランサムウェアはムカつく」 半田病院に潜入して被害現場のリアルを知る【動画あり】
国内でのランサムウェア被害が多発する今、被害企業の生の声を知ることは自社の防御を固める上で大きなアドバンテージになります。では半田病院はインシデントが起きたとき何をして何を学んだのか。現地に潜入してリアルを聞いてきました。