米国の連邦監察機関が報告書を公表し、米国立標準技術研究所(NIST)が国家脆弱性データベース(NVD)において未処理のサイバーセキュリティ脆弱性の積み残しを適切に管理できなかった経緯を詳細に示しました。
NVD危機の経緯
NVDは2005年に設立され、サイバーセキュリティ脆弱性データの中央リポジトリとして機能しています。
セキュリティ研究者やソフトウェアベンダーがソフトウェアやハードウェアの欠陥を発見した場合、共通脆弱性識別子(CVE)プログラムを通じて報告書を提出します。NISTはその生の報告データを受け取り、深刻度スコアや影響を受ける製品バージョンの情報といった追加分析を加えて「エンリッチメント(補強)」を行います。
こうして補強されたデータがNVDを有用なものにしており、サイバーセキュリティチームはこれを活用して防御の自動化、対処すべき脆弱性の優先順位付け、連邦規制への準拠を行っています。
現在のNVD危機の発端は2024年2月、NISTのエンリッチメント支援契約が失効したことにあります。(エンリッチメントを担うNVDアナリストは外部委託スタッフです。)
米商務省監察官室(OIG)の調査によると、NISTは新たな契約先を確保する必要があることを2年前から把握していたにもかかわらず、契約期限に間に合う形での後任の準備を怠り、2024年11月末まで適切な人員が確保できない状態が続きました。
さらに報告書は、サイバーセキュリティ・インフラセキュリティ庁(CISA)が2024年にプログラムへの財政支援を更新しなかったこと、NVDを監督する部門がNIST内部に代替資金を要請するのが遅れたことも、事態を悪化させた要因として指摘しています。
新たな契約が締結され、2024年9月までに積み残しを解消するとの公約が出された時点で、未処理の脆弱性件数はすでに約13,000件に達していました。2025年末までにその数は27,000件を超えるまで膨らんでいます。
「2026年には年間の脆弱性報告件数が60,000件を超えると予測しています。これは10年前と比較して約10倍の増加であり、NISTが積み残しを解消する能力をさらに圧迫しています」とOIGは指摘しています。
OIGの評価と提言
OIGは、NISTがこの問題への対応において以下の4つの主要な問題を抱えていたと指摘しています。
- NISTにはNVDの戦略的計画が存在しなかった(この点はNIST自身も調査担当者に対して認めています)
- NISTのエンリッチメントプロセスに非効率性:エンリッチメント作業の大部分は2つのタスクで占められており、そのうちの1つ(深刻度スコアの算出)はほぼ不要な作業でした。脆弱性の報告の約80%にはすでに報告者によるスコアが含まれており、CISAも独自にスコアを提供していたためです。
- NISTとCISAが互いにほとんど連携を取らないまま、重複する脆弱性エンリッチメントプログラムを並行運用。CISAは2024年5月にVulnrichmentを立ち上げましたが、両機関は同じ政府委託業者を使用しており、多くのケースで同一の脆弱性に対して同じエンリッチメント作業を重複して実施していました。
- NISTによるNVD関係者とのコミュニケーションが不十分で、公式な情報発信も遅延しています。
OIGは、プログラムの運営方法を抜本的に見直さない限り、NVDはその使命を果たせなくなり、データベースへの公的信頼は低下し続けると結論付けています。
事態を改善するため、OIGはNISTに対して以下を勧告しています。戦略計画の策定、明確なマイルストーンを設けた積み残し管理計画の策定、重複する深刻度スコア算出の削減、CISAとの連携による重複作業の排除、外部関係者がデータベースに貢献しやすい仕組みの整備、そして適切なステークホルダー向けコミュニケーション戦略の構築です。
NISTはこれらの勧告への正式な対応計画を提出し、実施に着手するまでの期限として2026年7月25日が設けられています。
報告書の公表から約1カ月前、NISTはNVDへのデータ追加・エンリッチメントに関する新たな方針を発表しています。引き続きCVEのデータベースへの登録は継続しつつも、エンリッチメントについては最も重要度の高いCVE(CISAの既知悪用脆弱性カタログへの掲載脆弱性、米連邦政府で使用されているソフトウェアに影響する脆弱性、重要なソフトウェアに影響する脆弱性)に絞って優先対応するという内容です。
また、独自の深刻度スコアを定例的に算出することを中止し、CVE採番機関(CNA)が提供するスコアを活用する方針も示しました。
翻訳元: https://www.helpnetsecurity.com/2026/06/01/nist-nvd-management-problems/
