NISTのCVSSは本当に正しい? 「全件分析断念」2カ月後に見えた意外な実態:CVE新運用は本当に回り始めたか
2026年4月「全てのCVEを分析する」という長年の方針を転換したNIST。約2カ月後、その運用実態を調査したところ、分析対象の絞り込みだけでなく、脆弱性評価そのものを巡る新たな課題が浮かび上がったという。
セキュリティ企業のVolerionは2026年6月23日(米国時間、以下同)、米国国立標準技術研究所(NIST)が2026年4月から実施している「NVD」(National Vulnerability Database:脆弱《ぜいじゃく》性情報データベース)の付加分析対象を限定する方針について、開始後約2カ月間の運用状況を検証した結果を公表した。
NVDが「CVE」(Common Vulnerabilities and Exposures:共通脆弱性識別子)に対して実施する共通脆弱性評価システム(CVSS)や共通脆弱性タイプ一覧(CWE)、共通プラットフォーム一覧(CPE)などの付加分析を対象に、件数や分析速度、評価内容を調査したところ、分析対象の絞り込みだけではない課題も見えてきたという。
NISTはなぜ全CVEの分析をやめたのか
NISTは2026年4月15日、従来の「全件分析」から、リスクベースで優先順位を付ける運用モデルへと移行した。分析対象外となったCVEは「Not Scheduled」として扱われる。
NVDには引き続き全てのCVEが登録されるが、付加分析の対象が限定されたことで、CVSSやCWE、CPEなどの情報が付与されないCVEが増えている。
背景には長年続く処理能力不足がある。2024年には契約更新の遅れや人員不足の影響で未処理案件が増加した。2025年には約4万2000件のCVEを分析し、前年から処理能力を約130%向上させたが、CVE登録件数自体は2020年から2025年に約263%増加した。2026年1〜3月も登録件数は前年同期を約3割上回っており、未処理案件の解消には至っていない。
新方針によってこの傾向はどこまで改善されたのか。
Volerionは2026年4月15日〜6月15日に公開されたCVEを調査した。
この期間に公開された「却下」以外のCVEは1万3441件だった。このうちNISTが分析対象としたのは8342件で、約38%に当たる5099件は分析対象外だった。
さらに分析対象となった8342件のうち、実際に分析が完了していたのは6759件にとどまり、1583件は分析対象でありながら未分析の状態だった。
CVSSベクトルが付与されたCVEは2645件で、公開件数全体の約2割だった。
Volerionは、この背景としてCVE採番機関(CNA)が既にCVSSを提供しているケースでは、NISTが独自評価を省略した可能性があると分析している。一方で、CNAごとに評価基準や品質にはばらつきがあるため、中立的な立場で評価を実施するNISTの役割は依然として重要だと指摘した。また、「FedRAMP Moderate」(米国政府機関におけるクラウドセキュリティの認証レベル)ではクラウドサービス事業者にNISTのCVSS v3.xを利用することを求めており、この点も今後の課題になるとしている。
また、CPEは影響を受ける製品を特定するための識別情報である。今回の調査では6755件にCPEが付与された一方、1587件には付与されなかった。Volerionは、公式CPE辞書を管理するNISTには、CPE整備を優先する役割があると述べている。
分析速度は改善傾向、それでも遅延は残る
分析完了までの中央値を見ると、2026年1月は10日14時間54分だったが、その後は2月が4日19分、3月が3日16時間39分、4月が5日20時間51分、5月が3日18時間4分、6月は1日22時間まで改善した。
ただし、この中央値には分析継続中の案件は含まれておらず、実際の遅延は統計以上に大きい可能性があるという。
週単位で分析件数と新規公開件数を比較すると、通常は新規公開件数をやや上回るペースで分析が進んでいたが、新規CVEが急増した週には処理が追い付かない状況も確認された。Volerionは、登録件数の増加が続けば、さらなる処理能力の拡充が必要になると分析している。
Volerionは、自社とNISTによるCVSS 3.1ベクトルも比較した。
最も差異が多かった項目は「攻撃複雑性」で、NISTはより低い複雑性と評価する傾向が見られた。この他、必要な権限や利用者操作、影響範囲についても継続的な違いが確認されたという。
例えば「IBM HTTP Server」の脆弱性(CVE-2026-8856)では、NISTはCVSSを9.1、IBMは7.7、自社は4.4と評価した。最大で4.7ポイントの差が生じたことになる。
Volerionは、攻撃には設定変更権限を持つ管理者であることが前提になるとして、ローカルアクセスと高い権限が必要と判断した。一方、NISTはネットワーク経由で権限不要と評価しており、攻撃成立条件の解釈が異なっていたという。
〜記者の目:ニュースをちょっと深掘り〜
今回の調査で注目すべきなのは、「NISTの分析件数が減った」という事実そのものではない。より本質的なのは、多くの企業が無意識のうちに前提としてきた「NVDに載っている情報を見れば十分」という運用が、もはや成り立たなくなりつつある点だ。
NVDは長年、CVEにCVSSやCWE、CPEといった情報を付加する「事実上の標準データベース」として利用されてきた。脆弱性管理製品やSBOM管理ツール、脆弱性スキャナー、さらにはSOCやCSIRTの運用でも、NVDの情報を前提としたワークフローは珍しくない。だからこそ、NISTが付加分析の対象を絞るという決定は、一つの組織の運用変更にとどまらず、脆弱性管理のエコシステム全体に影響を及ぼす出来事といえる。
一方で、今回の調査はもう一つ重要な示唆も与えている。それは、仮にNISTが全てのCVEを分析し続けていたとしても、その評価が唯一の「正解」ではないということだ。
IBM HTTP Serverの脆弱性では、NISTが9.1、自社が4.4と評価し、その差は4.7ポイントにも達した。どちらかが誤っているというよりも、攻撃者がどのような前提条件を満たしているかという解釈が異なれば、CVSSは大きく変わり得ることを示している。同様の議論は近年、「Google Chrome」や「VMware ESXi」、VPN機器などの脆弱性でもたびたび起きている。CVSSは客観的な数値に見える一方、その算出には人間による判断が介在する以上、評価者による差異は避けられない。
実際、近年はベンダー自身が公表するCVSSとNVDのCVSSが一致しないケースも増えている。さらに、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)のように、「スコアは高くないが実際に悪用されている」ことを重視する指標も広く利用され始めた。脆弱性の優先順位を決める際、CVSSだけでは十分ではないという考え方は、既に実務の世界では一般的になりつつある。
こうした流れを踏まえると、企業が見直すべきなのは情報源だけではない。NVD、CNA、ベンダーのアドバイザリ、KEV、EPSS(Exploit Prediction Scoring System)、さらには自社の資産情報や公開状況まで含め、多面的な情報を組み合わせてリスクを判断する運用への転換が求められる。
NISTの運用変更は、脆弱性管理が新たな局面に入ったことを象徴する出来事だ。「誰かが付けたCVSSスコア」を信じる時代から、「複数の情報を基に自社でリスクを判断する」時代になった。今回の調査結果は、その変化を改めて浮き彫りにしたと言えそうだ。(田渕聖人)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
NIST、ついに“脆弱性の全件分析”を断念 CVE爆増でパンク状態、方針転換
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。
生成AIブームの反動? 「AIだけの脆弱性診断」を見限る企業が急増
「AIに脆弱性診断を任せれば、人手不足を補いながら効率良くセキュリティを強化できる」。ソフトバンクをはじめ国内でも複数の企業がAIによる脆弱性診断サービスの立ち上げを発表する中、そんな期待を裏切る調査結果が明らかになった。
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正
Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。