NIST、NVD(国家脆弱性データベース)の運用を大幅変更-CVE申請が過去最多水準でリスクベーストリアージへ移行

セキュリティニュース

投稿日時: 更新日時:

NIST、NVD(国家脆弱性データベース)の運用を大幅変更-CVE申請が過去最多水準でリスクベーストリアージへ移行

2026年4月15日、米国国立標準技術研究所(NIST)は、世界のセキュリティチームが脆弱性管理の基盤として依存してきた国家脆弱性データベース(National Vulnerability Database、以下NVD)の運用方針を根本から変更すると発表しました。

これまでNISTはすべての共通脆弱性識別子(CVE)を分析し、CVSSスコアや影響を受けるソフトウェアのリストなどの詳細情報(エンリッチメント)を付与することを目標としてきましたが、今後はリスクベーストリアージモデルに移行し、最も危険な脆弱性のみを優先的に処理する方針に転換します。この変更は同日より即時適用されています。

▶ 関連記事:2026年 サイバー攻撃・情報漏洩の最新事例まとめ

なぜ変更するのか:CVE申請件数の爆発的増加

NIST公式発表が示す数字は驚異的です。2020年から2025年の間にCVE申請件数は263%増加しました。さらに2026年第1四半期の申請件数は前年同期比で約33%増という記録的な水準に達しており、NIST自身も「この傾向は近い将来も続く見通し」としています。

NISTは2025年に約4万2,000件のCVEをエンリッチメントしており、これは前年比45%増という過去最大の成果でした。しかしそれでも申請増加ペースに追いつくことは不可能であり、バックログ(未処理分)が2024年初頭から積み上がり続けた結果、今回の方針転換が不可避となりました。

CVE申請急増の一因として挙げられているのがAIによる自動脆弱性発見の普及です。

SiliconAngleの取材に対し、アイデンティティ脅威検知・対応プロバイダー SlashID のCEO、ヴィンチェンツォ・イオアッツォ氏は「AIが報告する有効な脆弱性の数は劇的に増加している。昨年だけでも報告された脆弱性の数は2倍以上になったという報告もある」と述べ、今回の方針変更を「合理的な判断」と評しています。

新しい優先基準:エンリッチメントされる3つの条件

NIST公式発表によれば、2026年4月15日以降、NISTがエンリッチメント(CVSSスコア・影響製品リスト等の詳細情報の付与)を行うCVEは、以下の3つの基準のいずれかを満たすものに限られます。

優先基準 内容 処理目標
① CISA KEVカタログ掲載CVE CISAの「悪用が確認された脆弱性(Known Exploited Vulnerabilities)カタログ」に掲載されているCVE 受領後1営業日以内
② 連邦政府使用ソフトウェアのCVE 米国連邦政府機関内で使用されているソフトウェアに影響を与えるCVE 優先処理
③ EO14028定義の重要ソフトウェアのCVE 大統領令(Executive Order)14028で「重要ソフトウェア(Critical Software)」として定義されているソフトウェアに影響を与えるCVE 優先処理

出典:NIST公式発表「NIST Updates NVD Operations to Address Record CVE Growth」(2026年4月15日)

上記3基準のいずれも満たさないCVEは、NVDには引き続き掲載されますが、NISTによる自動エンリッチメントが行われない新しいステータス「Not Scheduled(未予定)」に分類されます。このラベルは「このCVEはNISTによるエンリッチメントの予定がない」ことを意味します。

バックログの扱い:2024年以降の未処理CVEへの影響

2024年初頭から積み上がってきた大規模なバックログについても、今回の変更で処理方針が明確にされました。NVD公開日が2026年3月1日以前のCVEで、未エンリッチメントのものはすべて「Not Scheduled」カテゴリに移されることとなります。ただし、KEVカタログに掲載済みのCVEはこの扱いから除外されます。

NISTはこれらの古いバックログについて、「リソースが許す範囲でエンリッチメントを検討する」としており、完全に無視されるわけではありませんが、自動的に処理される保証はありません。ユーザーは nvd[at]nist[dot]gov 宛のメールで特定CVEのエンリッチメントをリクエストすることができ、NISTはリソースが許す限り対応を検討します。

その他の運用変更:スコアリングの重複廃止・修正CVEの再分析ルール変更

NIST公式発表によれば、今回の変更はトリアージモデルの導入だけにとどまりません。以下の2点についても運用が変更されます。

CVNAがスコアを提供済みの場合、NISTは独自スコアを付与しない

これまでNISTは、CVEを申請したCVE採番機関(CNA:CVE Numbering Authority)がすでに深刻度スコアを提供していても、独自のCVSSスコアを改めて付与していました。今後はこの重複分析を廃止し、CNAがすでにスコアを提供している場合はNISTが独自スコアを付与しない方針になります。これにより重複作業が削減され、リソースをより効果的に集中させることができます。

修正されたCVEの再分析ルールが変更

これまでNISTはエンリッチメント済みCVEに修正が加えられた場合、すべてを自動的に再分析していましたが、今後はエンリッチメントデータに実質的な影響を与える変更がある場合のみ再分析を行う方針に変更されます。また、2025年に「deferred(保留)」としてマークされたCVEは今後2週間以内に「Modified After Enrichment」に再分類される予定です。

「CVSSスコアが付くまで待つ時代の終焉」——セキュリティ専門家の見方

今回の変更についてセキュリティ業界の専門家は、痛みを伴う転換点として受け止めています。

サイバーセキュリティ企業RunSafe SecurityのCTO、シェーン・フライ氏はSiliconAngleの取材に対し、「今回の発表は、CVEスコアが付くまで対応を待つ時代が終わったというシグナルだ」と述べています。さらに「多様な脆弱性データソースを活用する組織は、影響を受ける脆弱性についてより信頼性の高い情報を得られる。それ以上に重要なのは、未知の脆弱性がソフトウェア内にすでに存在すると仮定し、パッチやCVEスコアが出る前でも悪用を防ぐ保護策を展開することだ」とコメントしています。

SlashIDのイオアッツォCEOは「LLM(大規模言語モデル)は、個々の組織が自分たちの環境における脆弱性を優先順位付けし、文脈に応じた評価を行えるレベルに近づきつつあり、エンリッチされたCVEへの依存を低減できる可能性がある」とも指摘しており、AI活用による自組織内での優先度付けが新しいスタンダードになる可能性を示唆しています。

日本のセキュリティチームへの影響と実務的対策

NVDは日本国内でも脆弱性管理ツール・SIEMプラットフォーム・パッチ管理ソフトウェアのデータフィードとして広く利用されており、今回の変更の影響は日本組織にも直接及びます。

影響①:CVSSスコアのない脆弱性への対応が必要になる

これまで「NVDにCVSSスコアが付与されるのを待って優先順位を決める」という運用をしていた組織は、そのプロセスが機能しなくなります。特にNVDのAPIフィードを脆弱性管理ツールに連携させている場合、「Not Scheduled」CVEについてはスコアが入ってこないため、自動化された優先度付けパイプラインの見直しが必要です。

影響②:バックログの処理遅延でゼロデイ対応が後手になるリスク

2024年初頭以降に積み上がったバックログが「Not Scheduled」に移されることで、すでに発見されているがエンリッチメントされていない脆弱性の詳細情報がいつまでも提供されない事態が生じます。攻撃者がこれらの脆弱性を悪用し始めても、組織側がCVSSスコアのないまま判断を迫られるケースが増加します。

今すぐ取るべき実務的対策

NIST NVDの変更を踏まえ、セキュリティチームが優先的に見直すべき事項は以下の通りです。

対策 具体的な行動
CISAのKEVカタログを優先参照 NISTが最も迅速に処理する「悪用が確認済みの脆弱性」の一覧。自組織の資産と照合してパッチ優先度を判断する第一情報源として位置づける
ベンダーアドバイザリーとCNAスコアの活用 NISTが独自スコアを付与しない場合でも、Microsoft・Cisco・Oracleなど主要ベンダーのセキュリティアドバイザリーやCNAが提供するスコアをNVDのデータと組み合わせて活用する
複数の脆弱性インテリジェンスソースへの分散 NVD単一ソースへの依存から脱却し、CISA Vulnrichment・JVN(Japan Vulnerability Notes)・商用脅威インテリジェンスフィードを並行して活用する体制を構築する
「Not Scheduled」CVEのリクエスト活用 自組織環境に深刻な影響を与えると判断したCVEが「Not Scheduled」の場合、nvd[at]nist[dot]gov 宛にエンリッチメントをリクエストする制度を活用する
CVSSスコア待ちの文化からの脱却 「CVSSスコアが付くまで対応を保留」という運用フローを見直し、悪用可能性・自組織への影響・ネットワーク露出状況に基づいた独自評価基準を社内で整備する

当編集部作成。NIST公式発表・SiliconAngle報道をもとに整理

背景:NVD・CVEシステムの位置づけ

NVDは米国NISTが2005年から運営する公開データベースで、CVE識別子に対してCVSSスコア・影響を受ける製品・修正情報などの詳細を付与(エンリッチメント)することで、世界中のセキュリティチームが脆弱性を優先対応するための共通基盤として機能してきました。CVE識別子自体はMITRE社が管理する別のシステムであり、NVDはその上にNISTが分析層を加えた仕組みです。

特にNVDが提供するデータフィードは脆弱性スキャナー・パッチ管理システム・SIEMといったセキュリティ製品のコアデータとして組み込まれており、「NVDが機能しないとセキュリティオペレーション全体が止まる」という構造的な依存が世界規模で生じています。このため今回の運用変更は、単なる政府機関の内部方針変更を超えた、グローバルなセキュリティオペレーションへの実質的な影響を持ちます。

日本ではJVN(Japan Vulnerability Notes)がIPAとJPCERT/CCによって共同運営されており、NVDのデータを参照しながら日本語での脆弱性情報を提供しています。NVDのエンリッチメントが遅延・停止した脆弱性については、JVNでの情報提供にも影響が出る可能性があります。


よくある質問(FAQ)

NIST NVDの「Not Scheduled」とは何を意味しますか?

「Not Scheduled」は、NISTが新しい優先基準(CISA KEVカタログ掲載・連邦政府使用ソフトウェア・EO14028定義の重要ソフトウェア)を満たさないCVEに付与する新しいステータスラベルです。このラベルが付いたCVEはNVDに掲載されますが、NISTによるCVSSスコア・影響を受けるソフトウェアリストなどの詳細情報(エンリッチメント)は自動的には付与されません。セキュリティチームはこうしたCVEについて、独自の情報収集・評価が必要になります。

なぜNISTはNVDの運用方針を変更したのですか?

CVE申請件数の爆発的増加が主因です。NIST公式発表によれば、2020年から2025年の間にCVE申請は263%増加し、2026年第1四半期の申請件数も前年同期比で約33%増という記録的な水準に達しています。2025年にはNISTは約4万2,000件のCVEをエンリッチメント(前年比45%増)しましたが、申請増加ペースに追いつけず、持続可能な運用のためのモデル転換が不可避となりました。AIによる自動脆弱性発見の普及も申請増加の一因とされています。

この変更は日本の組織のセキュリティ対応にどう影響しますか?

これまでNVDのCVSSスコアを起点に脆弱性の優先順位付けを行っていた組織は、スコアが付与されない「Not Scheduled」CVEについて独自に評価する体制が必要になります。具体的には、CISAのKEVカタログを優先的に参照する、ベンダーのセキュリティアドバイザリーやCNA提供のスコアを活用する、商用脆弱性インテリジェンスプラットフォームの導入を検討するといった対策が求められます。「CVSSスコアが付与されるまで待つ」という姿勢はもはや通用しなくなります。


出典・参考資料

一次情報(政府機関公式発表)

報道・分析