NIST NVD の方針を転換させる CVE の急増:詳細情報の付与を優先対象のみに限定

NIST, Overrun by Massive Numbers of Submitted CVEs, Limits Analysis Work

2026/04/17 SecurityBoulevard — 長年にわたり、ソフトウェアの脆弱性を追跡/分析/カタログ化を行い、その成果を広く公開してきた連邦機関 NIST だが、世界中から報告/提出される膨大な数のセキュリティ欠陥に圧倒され、対応の範囲を縮小するという状況にある。今週に National Institute of Standards and Technology (NIST) が発表したのは、Common Vulnerabilities and Exposures (CVE) に関する詳細情報の付与を、特定条件を満たすものだけに限定するという声明である。

その対象に含まれるのは、Cybersecurity and Infrastructure Security Agency (CISA) の Known Exploited Vulnerabilities (KEV) カタログに掲載されたもの/連邦機関が使用するソフトウェアに含まれるもの/2021年当時の Biden 大統領が発出した Executive Order 14028 で定義された重要ソフトウェアなどである。

これらの条件に該当しない CVE についても、National Vulnerability Database (NVD) への掲載は継続されるが、追加情報は付与されない。これまでの NIST の研究者たちは、すべての CVE に対して深刻度スコアや詳細情報を付与していたが、近年の提出件数の急増により継続が不可能となったと説明している。

脆弱性の提出数は 2020年〜2025年の間に 263% 増加しており、今後も増加が見込まれている。2026年 Q1 の提出数は、前年比で 30% 以上も増加している。昨年に NIST は、約 42,000 件の CVE に対して詳細情報を付与し、前年比で 45% の増加であったと報告している。

長年にわたる課題

この負荷が顕在化したのは、予算と人員の削減が発生した 2024年のことだ。続いて 2025年には、未処理件数の増加への対応としての方針変更が実施されたことで、さらに状況が逼迫した。

脆弱性の迅速な発見および修正のために NIST のデータへ依存している、公的機関および民間企業のセキュリティ・チーム全体に対して、NVD の動向は大きな影響を及ぼしている。2024年4月には、多数のセキュリティ専門家および組織が議会へ書簡を提出し、NIST および NVD へのリソース再投入を要請している。

提出された書簡には、「この停止が、公共/民間セクターにおけるレジリエンス確保の取り組みを阻害した。いまの状況は、システム・インフラの安全確保という戦略的な重要性に見合うかたちで、速やかに改善される必要がある」と記されていた。

企業による対応強化の必要性

セキュリティ専門家たちは、CVE 件数の増加と過去の兆候を踏まえれば、この動向は予測可能であり、驚くべきものではないとしている。AI 技術の急速な進展により、自律システムが大量の脆弱性を検出し始めている。それに加えて、Anthropic の Mythos Preview AI や OpenAI の GPT-5.4-Cyber foundations モデルは、エクスプロイトの生成能力も向上させている。

SlashID の CEO である Vincenzo Iozzo は、「AI が報告する有効な脆弱性が急増している。この状況において、最も重要なものに対象カテゴリを限定するという、NIST の新方針は合理的である。さらに、各組織の環境における脆弱性対応の優先順位付けや、コンテキスト化を実施できる段階へと、いまの LLM は近づいている。したがって、CVE に付与される詳細情報の価値は低減する」と説明している。

新たなモデルの必要性

サイバー・セキュリティ専門家によると、長年にわたり NIST が保持してきたモデルは、脆弱性の検出における高速化/大規模化に対応できなくなっている。

Finite State の Head of Policy であり、CISA の 元 Branch Chief and Cybersecurity Advisor である Doc McConnell は、2 つの重要な変革が必要であると指摘している。

  • 第一に、メーカーは設計の初期段階から、脆弱性のテストとリスク評価を取り入れる Security-by-Design に投資し、製品がユーザーに届く前の段階で、欠陥を修正する必要がある。
  • 第二に、NIST も認識している通り、統一的な深刻度スコアに依存することは、もはや不可能である。組織は自環境のコンテキストを反映するかたちで、脆弱性が悪用される可能性を評価する必要がある。

Bugcrowd の Trey Ford は、「NIST が認めたのは、長年にわたり研究コミュニティが把握していた事実である。これほどの規模で、中央集約型の脆弱性トリアージの維持は不可能である。修正の優先度を決定するシグナルは、常に実環境におけるエクスプロイトの可能性である。それは、NVD のメタデータではなく、敵対的な視点を持つ研究者たちの、継続的な検証に依存する。次世代の脆弱性管理プログラムは、四半期ごとの情報付与によるものではなく、このような分散的/能動的なシグナルを基盤として構築される」と結論付けている。

訳者後書:いまの状況の背景にあるのは、脆弱性情報を管理する NVD が、あまりに膨大な報告数に追いつけなくなっているという現実です。 AI 技術の進展により、脆弱性の発見が容易になった一方で、それらを審査する NIST の予算や人員といったリソースが不足し、すべての CVE に対して詳細情報を付与することが物理的に困難になりました。これからは、公的なデータベースだけに頼るのではなく、自らの環境における欠陥が、実際に悪用されるリスクを見極める力が求められるようになります。よろしければ、NIST での検索結果も、ご参照ください。