NIST NVD が運用体制を刷新:CVE バックログの解消に向けた改革とは?

NVD Revamps Operations as Vulnerability Reporting Surges

2025/04/11 InfoSecurity — 内部の混乱と脆弱性のバックログの増加に揺れた激動の1年を経て、米国 NIST (National Institute of Standards and Technology) 内の NVD (National Vulnerability Database) チームはようやく安定を取り戻した。しかし、いまの NVD は、新たな課題に直面している。つまり、報告される脆弱性の急増により膨れ上がったバックログが、再建されたチームの努力を上回る勢いを見せているのだ。

ノースカロライナ州ローリーで開催された、脆弱性管理イベント VulnCon の最終日である 2025年4月10日に、NVD Program Manager の Tanya Brewer と 、NIST の Chief of the Computer Security Division の Matthew Scholl が、NVD の最新の状況について一部を公表した。

彼らは、NVD における脆弱性処理の、いくつかの改善点を発表した、また、バックログの解消に向けた新たな戦略に取り組んでいることを明らかにした。そこに含まれるものとしては、データ分析業務のさらなる自動化や、AI 導入の検討などがあるという。

人員不足を克服し CVE 処理を強化した NVD

Tanya Brewer は、「NVD の業務を支えていた契約が、2024年初頭に終了したことで、内部的な問題が1年間にわたり続いていた。しかし、いまの NVD では、脆弱性 (CVE) を追加/補強するチームが全力で作業にあたっている」と述べている。

その後の 2024年6月に、NIST は脆弱性のバックログ解消を支援するため、外部コンサルティング会社との商業契約を延長した。

Brewer は、「旧契約の終了に伴い、従来からの前のチームが離脱した、また、新しいチームを編成する期間が長く続いた。メンバーたちのプライベートな問題も重なったが、今では以前のペースを上回る勢いで作業が進んでいる」と付け加えている。

VulnCon の公演で Brewer が提示したグラフによると、2024年3月〜5月にかけては、大半の CVE が未処理の状態にあった。2024年5月と6月の処理件数も、月あたり2,000件を大きく下回っていた。

しかし、2024年8月以降には、NVDチームによる CVE の処理数は回復し、月あたり 2,000件〜3,000件の処理率を記録した。これは、2024年3月以前と同等の水準となる。さらに 2025年には、月あたり約 3,000件という、より高い処理ペースが示されている。

VulnCon のセッション後に Matthew Scholl は、「新しいチームの採用が完了した。彼らはトレーニングを終え、すでにフル体制で稼働している。それは、私たちが “完全な陣容 (full complement team) ” と呼ぶ状態である」と、Infosecurity の取材に対してコメントしている。

彼は、現在の NVD チームの人数については明言しなかったが、以下のような構成であると明かした:

  • データの補強 (エンリッチメント) を担当するアナリスト・チーム
  • データ収集および分析プロセスを支援する開発者チーム
  • 標準仕様やガバナンス対応を担当する新しいメンバー

Matthew Scholl は VulnCon セッション中に、トランプ政権下での連邦機関全体の効率化の意向に触れながら、将来的な予算削減への懸念はないと述べている。

さらに彼は、「NIST としては、NVD は優先的に取り組むべき対象としており、NVD プログラムに対する適切なリソースの確保が保証されている」と付け加えている。

NVD コンソーシアム計画を撤回

Brewer と Scholl は、2024年3月の更新で言及されていた、協力研究開発契約 (CRADA:Cooperative research and development agreement) を通じて NVD を支援するコンソーシアムの設立について、すでに断念したことを明らかにした。その理由は、行政手続きが煩雑であり、手間がかかりすぎると判断されたことにある。

その代わりに NVD は、脆弱性管理コミュニティや民間セクターとの非公式なチャンネルを通じた関わりを、優先していく方針であるという。

拡大が止まらない NVDの 脆弱性バックログ

Tanya Brewer によると、NVD チームの再建に向けた取り組みは進んでいるが、脆弱性のバックログは依然として増え続けているという。

前述の VulnCon でのグラフによると、2025年3月時点で NVD が抱える未処理 CVE は 25,000件に達しており、2024年8月の約 17,000件から大幅に増加している。2024年3月に NVD の業務が停止した以降において、毎月の処理件数は増加し、改善は進んでいても、脆弱性バックログは増加し続けている。

その主な要因は、CVE 報告件数の急増にある。NVD は、2024年の CVEの提出件数が 32% も増加したと報告している。

また、Cisco の Principal Engineer である Jerry Gamblin の最近の報告では、2025年3 月の CVE 公開件数は、前年比で 48% 増加すると推定されている。

Brewer は、「現在の我々の処理能力では、新規で報告される脆弱性の件数に対応できなくなっている。その結果として、バックログは依然として増え続けている」と述べている。

脆弱性バックログ解消に向けた NVD の継続的な取り組み

2018年以前の CVE は優先順位から外される

NVD は、増加する脆弱性バックログに対応するため、さまざまな戦略を採用してきた。

2025年4月2日の情報アップデートで NVD は、2018年1月1日以前に公開された CVE の中で、現在も補足情報 (エンリッチメント) 待ちのものについては、NVD データセット上で “Deferred (保留) ” とマークすることを発表した。

それらの脆弱性は、CVE の公開から年数が経過しているため、エンリッチメントの更新が優先されないことを意味する。

NVD のアナウンスメントには、「“Deferred (保留) ” とマークされた CVE レコードに関して、メタデータの更新リクエストは引き続き受け付け、審査する。新たな情報により、特定の CVE に対するエンリッチメントの更新が適切と判断された場合には、時間とリソースが許す範囲で優先して対応する。また、たとえ “Deferred” 扱いであっても、CISA の KEV に追加された CVE については、引き続き優先的に処理を行う」と記されている。

Infosecurity の取材に対して Brewer が明らかにしたのは、2018年以前の CVE に関する更新リクエストの多くは、リンクの変更や CVE エントリー内のリンクの移動といった、軽微ものであるという点だ。

彼女は、「正直なところ、7年以上前の CVE に対してさらにエンリッチメントを行うのは現実的ではない。脆弱性の影響を受ける製品の多くは、すでに市場に出回っておらず、リソースの無駄遣いになるだけだ」と述べている。

ギャップ・フィリング戦略の導入

2018年以降の既存の CVE に関しては、NVD チームでは、従来からの CVE エンリッチメント方式に代わり、一時的にギャップ・フィリング戦略を採用すると、Brewer は明言した。

従来の方式は、それぞれの CVE を一から精査して補足情報を追加するというものだ。その一方で、新しい方式では、CNA (CVE Numbering Authorities) から提供された補足データの追加が優先して行われる。

この戦略についてBrewer は、公式には一時的な措置だが、恒久的な方針となる可能性もあると、Infosecurity に語った。

彼女は、「とは言え、CVE レコードの多くが不完全であり、また、内容に矛盾があることも認識している。そのため、今後の1年以内に CNA から提供される、CVE レコードの品質が十分だと判断できれば、今の戦略を継続する可能性もあるが、従来の CVE 処理方式に戻す可能性もある」と述べている。

AI 活用による CPE データの自動化の模索

この新たな戦略を支援するために、NVD チームの一員であり CVE プログラムの理事も務める Chris Turner は、CPE (Common Platform Enumeration) データの自動化ツールを開発している。

CPE データとは、アプリケーション/ソフトウェア/オペレーティング・システム/ハードウェアなどの IT 製品を標準化された形式で識別および記述する手法であり、脆弱性管理の専門家によって広く利用されている。

Brewer は、Infosecurity の取材に対し、「このツールは、CVE リストのデータを使用して、CVE レコードに対する CPE データを自動生成するプロセスを開始するものである」と説明している。

このツールは、データ識別/収集/処理において、機械学習アルゴリズムを活用する可能性がある。

さらに NVD は、CPE コンソールの全面的な刷新にも取り組んでおり、将来的にはすべての CNA に提供できるようにする計画もあるとのことだ。

Linux カーネル CVE データ処理の自動化

これまでの1年半で追加された多くの CVE が、Linux カーネルに関連するものであったことを受け、NVD は、AI を活用したツールの PoC を実施し、これらのリクエストに関するデータの収集/処理について、自動化を模索するプロジェクトを開始した。

Brewer は、「機械学習による解析や構文解析が可能な形式で、記載および整形されている」と語っている。

この自動化処理には、たとえば各 Linux カーネルの CVE に対して、適切な CWE (Common Weaknesses and Enumeration) や CVSS (Common Vulnerability Severity Score) を選定する作業などが含まれかもしれないという。

最後に Brewer は、内部/外部で追加される改善点についても共有した。それには以下が含まれる:

  • 内部向け脆弱性コンソールの全面刷新
  • CNA および ADP (Authorized Data Publisher) による検索が可能となった、更新版の NVD 検索エンジン
  • NVD の脆弱性 API の再設計
  • 脆弱性に関する知識を形式的に表現した、NIST の Vulnerability Data Ontology (Vulntology) の更新版。それは、脆弱性データの記述および分析のための構造化された、フレームワークを提供するものである。

質問の機会が欲しかったという専門家たちの声

脆弱性コミュニティに参加する多くの専門家たちは、NVD の情報公開の不透明さや、公的な発信の少なさについて不満を表明している。

VulnCon のセッションでは、一部の質問に対する回答もあった。しかし、脆弱性管理の専門家であり、Jericho ブログの執筆者でもあり、脆弱性監視活動を行っている Brian Martin や、Flexeraの Security Solutions Sales である Jeroen Braak などは、セッションが 30分間しかなかったことに対して不満を表明した。

Martin は、「彼らは 30分間のセッションを実施したが、質問が1時間に及ぶことは事前に分かっていたはずだ」と Infosecurity に語った。

Braak は、「正当な懸念を抱き、長らく回答を待っていたコミュニティにとって、これは“好機を逃した” ように感じられる」と、LinkedIn への投稿で述べている。

NVD CVE processing activity up to April 9, 2025. Source Jeroen Braak via LinkedIn

このような批判に対して、Scholl は、「我々は、誰からの問い合わせも、いつでも受け付けている。実際に、コミュニティと頻繁に連絡を取っているが、非常に大規模なコミュニティであるため、VulnCon や自社イベントのような場で対応するよう努めている。一部の人々の不満は理解できるし、One-to-One の対応が不十分だと感じるかもしれない。時には意見が対立し、合意を形成することが必要になることもある。しかし、我々と話をしたい、関わりたいという、人々を拒むことは決してない」と Infosecurity に語った。

今後の展望と脆弱性データソースの多様化

2025年3月19日/4月2日に NVD が情報を更新した以降において、脆弱性コミュニティでは、CVE データソースの多様化を求める声が強まっている。

ソフトウェア・サプライチェーン・セキュリティ企業 Socket の Head of Content Marketing である Sarah Gooding は、4月4日にブログ記事を投稿した。彼女が、セキュリティ・チームに対して推奨するのは、ベンダのアドバイザリに加えて、CVE.org/CISA KEV/OSV.dev/ExploitDB など、他のソースでフィードを多様化することである。

それに対し Scholl は、「もし、それぞれの組織が、複数の情報リソースに目を向け、さらに多くの人々がコミュニティのために脆弱性情報を提供し、それを基に知見を広げられるようになるなら、それは悪いことではないかもしれない」とコメントしている。

NVD による努力や、状況の変化などが語られてえいますが、その求心力の低下は否めない感じがします。お隣のキュレーション・チームでは、もともと VulDB を多用していたので、昨年からの NVD の変調に対して、うまく対応できたようです。彼らに言わせると、「NVD が不調だからといって、脆弱性と脅威アクターたちは待ってくれない」となります。よろしければ、以下のリストも、ご参照ください。

2025/03/19:NVD バックログに苦戦:今後も停滞が続く見通し
2024/07/26:NVD バックログ:渋滞解消は 2025年初頭?
2024/05/31:2024年9月までには軌道に乗ると発表
2024/05/30:外部への支援要請と契約締結について発表
2024/05/23:悪用された CVE のメタデータは依然として欠落
2024/05/14:NIST NVD の混乱:新規の CVE 追加が一時的に停止
2024/05/08:CISA の Vulnrichment:NVD 補完のメタデータ
2024/04/16:専門家たちが運用再開の支援を米議会に要請
2024/04/03:CVE と NVD:脆弱性の情報源は分断されている?
2024/03/28:NIST NVD の新たなコンソーシアム設立が決定
2024/03/22:NIST の脆弱性データベースの凍結
2024/03/15:CVE に紐づくはずのメタデータが提供されていない