NIST、ついに“脆弱性の全件分析”を断念　CVE爆増でパンク状態、方針転換

　米国国立標準技術研究所（NIST）は2026年4月15日（米国時間、以下同）、「NVD」（National Vulnerability Database：脆弱《ぜいじゃく》性情報データベース）における「CVE」（Common Vulnerabilities and Exposures：共通脆弱性識別子）の取り扱い方針を大幅に変更すると発表した。急増する脆弱性報告に対応するため、従来の「全件分析」から、リスクベースで優先順位を付ける運用モデルへと移行する。

NIST、ついに“脆弱性の全件分析”を断念　CVE爆増でパンク状態、方針転換

　これまでNVDは、登録された全てのCVEに対して、共通脆弱性評価システム（CVSS）による深刻度スコアや影響を受ける製品などの詳細情報を付与し、セキュリティ担当者が対応優先度を判断できるよう支援してきた。しかしこのモデルは、近年のCVE件数の爆発的な増加によって限界を迎えていた。

　実際、CVEの提出件数は2020〜2025年の間に263％増加。2026年もその勢いは衰えず、年初3カ月だけで前年同期比約3分の1増となっている。NISTは2025年に約4万2000件のCVEを処理し、過去最高を45％上回る生産性を達成したが、それでも増加ペースには追い付いていない。こうした状況を受けて、NISTは新たに優先順位付け基準を導入した。その詳細とは。

●CVE急増で限界露呈　NISTの新リスクベース運用の詳細とは？

　NISTは2026年4月15日以降、以下のCVEを優先的に対象とする。

・米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に掲載されたCVE（原則1営業日以内に対応）

・米連邦政府で使用されるソフトウェアに関するCVE

・「国家のサイバーセキュリティ強化」に向けた大統領令14028号で定義される重要ソフトウェアのCVE

　これらに該当しないCVEも引き続きNVDに登録されるが、「未スケジュール」として扱われる。ユーザーは必要に応じて個別に分析をリクエストできる仕組みとなる。

　また、深刻度スコアの付与についても見直される。従来は、CVE番号付与機関（CNA）が既にスコアを提供している場合でも、NISTが独自にスコアを算出していたが、今後はこの重複作業を原則廃止する。

　さらに、CVEの再分析プロセスも簡素化される。従来は変更があった全てのCVEを再分析していたが、今後は内容に重大な影響がある場合に限定される。未処理のバックログ問題にも手が入る。2024年初頭以降に蓄積された大量の未分析CVEについて、2026年3月1日以前に公開されたものは原則として「未スケジュール」に移行する。新基準に基づき、リソースの許す範囲で再評価される。

　この他、CVEのステータス表示の見直しや、リアルタイムで状況を可視化するダッシュボードの強化も実施される。NISTは、これらの変更により、現在の負荷を管理しつつ、長期的には自動化やワークフロー改善を進め、NVDの持続可能性を確保するとしている。

●〜記者の目：ニュースをちょっと深掘り〜

今回のNISTの決定を理解するには、単なる「件数増」ではなく、なぜここまでCVEが急増したのかを押さえる必要がある。背景には、ソフトウェア開発の構造変化がある。オープンソースの爆発的普及により、一つのアプリケーションが数百から数千の依存関係を持つのが当たり前になった。単一のライブラリの脆弱性が広範囲に波及するため、報告対象そのものが激増している。

加えて、SBOM（ソフトウェア部品表）への関心の高まりや規制強化も大きい。大統領令14028号以降、ソフトウェア構成の透明性が求められるようになり、これまで見過ごされていた軽微な欠陥もCVEとして登録される傾向が強まった。セキュリティ研究者だけでなく、企業や自動化ツールによるスキャン結果がCVEとして提出されるケースも増えており、「人の手で個別に発見される脆弱性」から「機械によって大量検出される脆弱性」へと性質が変わっている。

つまり現在のCVE急増は脅威の増大だけでなく「可視化の進展」と「報告の民主化」がもたらした側面が大きい。その結果、重要度のばらつきが極端に広がり、従来のように全件を同じ粒度で扱うこと自体が非合理になった。

こうした構造変化を踏まえると、NISTがリスクベースに舵を切ったのは必然だ。KEVのように悪用が進んでいる脆弱性や、政府利用・重要インフラに関わるものに集中することで、「本当に危険なもの」を優先的に可視化する。一方で、それ以外のCVEは“存在はするが意味づけは各自でする”という前提に変わる。

この変化が現場に突きつけるのは、脆弱性管理の主導権の移行だ。これまでのようにNVDのスコアや付加情報に依存するのではなく、自社の資産状況や攻撃可能性を踏まえてリスクを再評価する力が求められる。「本当に守りたい情報は何か」「もし被害に遭ったらビジネスにどのような影響が生じ得るか」などを加味した優先順位付けが不可欠になるだろう。

今後はNVDを“唯一の正解”とする時代から、複数の脆弱性インテリジェンスを組み合わせる時代に移行する。NISTの今回の決定は、その変化を促進させるトリガーであり、「脆弱性は増え続ける」という前提に立った現実的な再設計といえる。問題は、各組織がこの新しい前提にどこまで適応できるかだ。（田渕聖人）

筆者紹介：田渕聖人（＠IT編集記者　TechLIVE取材班）

2020年アイティメディア入社。「ITmedia エンタープライズ」で活動後「＠IT」の編集記者としてサイバーセキュリティ関連記事の取材や執筆、企画編集を手掛ける。サイバーセキュリティ関連のイベントにも数多く登壇。アイティメディアのYouTubeチャンネル「TechLIVE by ITmedia」の番組「攻撃者の目」に出演。攻撃者視点で防御に役立つサイバーセキュリティ情報を発信中。