NISTが脆弱性データベースの運用方針を刷新 「リスクベース」のCVE新基準とは：セキュリティニュースアラート

NISTは、急増する共通脆弱性識別子（CVE）に対応するため脆弱性情報データベース（NVD）の運用方針を変更すると発表した。これによって限られた資源を最適化し、データベースの持続可能性を確保する。

[ITmedia エンタープライズ編集部，ITmedia]

　米国立標準技術研究所（NIST）は2026年4月15日（現地時間）、同機関が管理する脆弱（ぜいじゃく）性情報データベース（NVD）の運用方針を変更すると発表した。この変更には急増する共通脆弱性識別子（CVE）に対応し、優先順位付けと作業の効率化を進め、長期的な運用の安定を図る狙いがある。

NISTがNVD運用を刷新、重要脆弱性の優先処理と効率化を目指す

　NISTによると、従来は登録されたほぼ全てのCVEについて深刻度スコアや対象製品などの付加情報を付与してきた。しかし今後は、一定の条件を満たす案件に絞って詳細付与を実施する。条件を満たさないものもNVDには掲載されるが、即時の詳細付与はされず、低優先の扱いとなる。

　背景には、CVE登録数の急増がある。2020年から2025年にかけて登録件数は263％増加し、2026年初頭も前年同期比で約33％増えている。2025年には約4万2000件のCVEに詳細を付与し過去最多を更新したが、それでも増加ペースに追いつかない状況にある。

　新たな優先基準では、まず米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の、既知の悪用された脆弱性（KEV）カタログに含まれる案件を対象とし、受理後1営業日以内の処理を目標とする。また連邦政府で利用されるソフトや、大統領令で定義された重要ソフトウェアに関する脆弱性も優先対象に含める。

　これらに該当しないCVEは優先度を最低にし、即時追加予定なしと分類する。ただし、利用者は特定案件の詳細付与を依頼でき、NISTはリソース状況に応じて対応を検討する。全ての高影響案件を網羅できるわけではない点を踏まえた措置だ。

　評価作業の見直しも実施する。これまでNVDは、登録機関が既に深刻度評価を示している場合でも独自スコアを付けてきたが、今後は原則として独自評価を省略する。重複作業を減らし、限られた人的資源を優先領域へ振り向けるためだ。必要に応じて個別依頼に基づき評価する仕組みは維持する。

　修正済みのCVEの扱いも変更する。従来は変更があれば再解析していたが、今後は内容が付加情報に実質的影響を与える場合に限定する。2025年に保留扱いとされた案件は「詳細付与後に変更あり」という区分へ移行し、2週間程度で段階的に再分類される。

　未処理案件の整理も進める。2024年以降に蓄積したバックログについて、2026年3月1日以前に公開されたものは「Not Scheduled」（未予定）区分へ移行する。優先基準に基づき、余力がある範囲で順次対応する方針だ。KEVに含まれる案件は従来通り優先対象であり、バックログには含まれない。

　CVEの状態を示すラベル体系を更新し、処理状況の可視化を強化する。ダッシュボードも刷新し、統計情報や進捗をリアルタイムで反映する。

　NISTは、こうした措置が利用者に影響を与える可能性を認めつつも、現状の件数増に対応するためには不可欠と説明する。新方針によって、重要度の高い脆弱性への対応を維持しつつ、自動化や作業工程の改善に必要な資源を確保する。

　同機関は、NVDを米国のサイバーセキュリティ基盤の中核として維持する方針を強調している。今回の見直しを通じて、公開情報源としての信頼性と持続性を確保し、関係機関や利用者との連携の下で運用を継続するとしている。