NISTのエンリッチメント削減がCVEのカバレッジと正確性に影響

米国立標準技術研究所（NIST）がCVEエンリッチメントの削減を開始してから2か月が経過しましたが、新たな調査により、セキュリティチームが脆弱性の優先順位付けを困難にする可能性のある懸念すべき傾向が明らかになりました。

4月、NISTは国家脆弱性データベース（NVD）向けに実施する「エンリッチメント」、すなわち追加分析の対象となるCVEの数を大幅に削減し始めました。この方針転換の背景には、登録された脆弱性の深刻なバックログがあり、NISTは例えば悪用が確認されているものや連邦政府が使用する製品に存在する脆弱性を優先的に扱うようになりました。

この削減の結果、NISTによるCVSSスコアなどの追加情報が付与される脆弱性が減少しています。NIST発表当時から、エンリッチメントの欠如が脆弱性管理の指針としてNVDに依存する組織に問題をもたらす可能性があると、専門家たちは懸念を示していました。

こうした懸念は根拠のあるものだったと、サイバーセキュリティ新興企業Volerionの調査が示しています。同社はNISTの削減以降の2か月間の脆弱性データを分析し、エンドユーザー組織による脆弱性の特定・優先順位付け・修正を複雑にする可能性のある、いくつかの懸念すべき傾向を明らかにしました。

Volerion共同創業者のRuben Bos氏は「多くのCVEでカバレッジが不足しているだけではありません。結論が間違っているケースも非常に多いのです」と述べています。

CVEカバレッジの空白と遅延

Volerionは4月15日から6月15日の間にNVDへ公開された、却下されていない全13,441件のCVEを分析しました。そのうち半数以上にあたる8,342件が、NISTによってエンリッチメントの優先対象とされていたことを調査チームは確認しています。

しかし実際にNISTのエンリッチメントを受けた脆弱性はわずか6,759件にとどまり、1,583件の公開済みCVEが未分析のまま残っていることもわかりました。さらに、エンリッチメントを受けた脆弱性のうちNIST CVSSベクターが付与されたのは2,645件のみです。VolerionによればNISTは、特定の脆弱性についてCVE IDの割り当てと公開を認可されたサイバーセキュリティ企業やテクノロジーベンダーなどの組織であるCVE番号機関（CNA）からすでにCVSSスコアを取得しているCVEをスキップしている可能性が高いとしています。

「しかしCNAのベクターは、専門知識・バイアス・一貫性のレベルがそれぞれ異なる多くの組織によって作成されています」とVolerionのブログ記事は述べています。「だからこそNISTのベクターが求められてきたのです。独立した、少なくとも名目上は知識豊富で信頼できる情報源から提供されていたからです。」

現在、Mitre Corp.が監督するCVEプログラムには500を超えるCNAが参加していますが、このプログラム自体もここ最近、資金調達の不透明さに直面しています。また、複数のCNAが同一の脆弱性についてCVEとCVSSスコアを公開できるため、エントリーの重複や分析内容の相違、さらには情報開示をめぐる紛争が生じることもあります。

Volerionはまた、NISTのエンリッチメントにおける適時性も問題であることを確認しました。各月における脆弱性の分析所要時間の中央値は比較的短く、5月はおよそ4日でしたが、毎週多くの脆弱性が依然として「分析待ち」のステータスのまま残されており、分析所要時間の指標から除外されている状況でした。

調査チームは、週あたりの公開CVE数が急増した際にボトルネックが発生することを確認しました。脆弱性の報告件数が増加し続ける中（今月のMicrosoftによる記録的なPatch Tuesdayがその証左です）、NISTはさらに遅れを広げる可能性があると警告しています。

Volerion共同創業者のKarel Knibbe氏はエンリッチメントプロセスについて「計測する期間によっては、非常に遅くなることがあります」と述べています。どのCVEを優先してパッチ適用すべきか迅速な判断が求められる組織にとって、これは深刻な問題となる可能性があります。

CVEの不正確さとスコアの相違

エンリッチメント削減における最大の問題は、独立した第三者による脆弱性評価とCVSSスコアをエンドユーザー組織から奪ってしまうことかもしれません。特にFedRAMPに参加するクラウドサービスプロバイダー（CSP）にとっては深刻な問題だとVolerionは述べています。FedRAMPはリスク判定においてNISTのCVSSスコアの使用をCSPに義務付けているためです。

ただし報告書によると、正確性の問題もあります。NISTによるCVSSスコアがない場合、エンドユーザーはCNAのスコアに頼らざるを得ませんが、このスコアが偏っていることがあるとBos氏は指摘しています。例えばサイバーセキュリティ企業がバグバウンティの報酬を高めたりマーケティング目的でCVEの深刻度を過大評価したり、テクノロジーベンダーが自社製品の脆弱性スコアを低く抑えようとする場合があります。「技術的なレベルで脆弱性を理解していないCNAがあり、話題性のある脆弱性ばかりを追いかけるだけのケースも多い」と同氏は述べています。

さらにVolerionは、NISTの分析自体にも正確性の問題があることを確認しました。同社は2か月間にわたり数千件のCVEを自社の脆弱性インテリジェンスプラットフォームで処理し、スコアの相違、ベクターの不一致、コンテキスト情報の欠如を発見しています。

調査チームが確認した最も一般的な不一致は、攻撃複雑性のカテゴリーでした。全不一致のおよそ3分の1において、NISTがCVEの攻撃複雑性を低（AC:L）と評価していたのに対し、Volerionは高（AC:H）と判断していました。また多くのケースで、NISTの分析が悪用に必要な権限やユーザーインタラクションの要件を見落としていたことも確認されています。

Volerionは特に相違が大きいケースの例として、IBM HTTP Server 8.5および9.0のサービス拒否（DoS）脆弱性CVE-2026-8856を挙げています。NISTはこの脆弱性にCVSS 9.1のクリティカルな深刻度評価を与えた一方、IBMはCVSSスコア7.7の中程度の深刻度と判断しました。

しかしVolerionのスコアはさらに低く、複数のベクターに基づいた中程度の深刻度4.4でした。例えば調査チームは、脆弱なサーバーが外部の脅威アクターに書き込みアクセスを許可するよう設定されている必要があることから、CVE-2026-8856はAV:N（ネットワーク攻撃ベクター）・PR:N（権限不要）ではなく、AV:L（ローカル攻撃ベクター）・PR:H（高い権限が必要）と評価されるべきだと判断しています。

Volerionが分析したCVEの不一致がすべて過大評価によるものではありません。データセット内には逆のケース、すなわち過小評価されているものも存在するだろうとBos氏は述べています。しかし根本的な問題は同じです。評価とスコアの相違は、脆弱性の深刻度と技術的な性質の両面において組織に混乱をもたらす可能性があります。

CVEの量とデータ問題に悩むNIST

NISTのエンリッチメント削減は、増え続ける脆弱性の分析負担を軽減し、優先度の高いCVEへの集中を可能にするためのものでした。しかしVolerionは、新しいアプローチのもとでもNISTがエンリッチメントの遅延と不正確さに依然として苦しんでいることを確認しています。

問題の一因は、エンリッチメント対象CVEを選定するNISTのシステムが、サイバーセキュリティ・インフラセキュリティ庁（CISA）の既知悪用脆弱性（KEV）カタログなど複数のソースからデータを自動取得する仕組みである可能性が高いことだとKnibbe氏は述べています。しかし同氏は、多くの組織が長年指摘してきたように、CISAもしばしば誤りを犯すと指摘します。カタログに掲載すべき脆弱性が見落とされる一方、時期尚早に追加されるものもあり、KEVリストの更新内容が公表されないこともあります。さらに公開される脆弱性の量が膨大なため、NISTは個々の脆弱性を手動で審査してエンリッチメント対象を選定する余力がない可能性が高いとされています。

「悪い基盤の上に悪いレイヤーが積み重なっている状態です」とKnibbe氏は述べています。

明るい面としては、VolerionがCISAのVulnrichmentプロジェクトを支援していることが挙げられます。同プロジェクトは、注目すべき脆弱性に関する追加的なコンテキストと洞察を組織に提供することを目的とした、CISAエンリッチメント済みCVEの公開GitHubリポジトリです。またVolerionはCVE向けのNVD互換APIもリリースしており、同社プラットフォームを通じてCVSS 3.1およびCVSS 4.0ベクターとその他のコンテキストデータを提供しています。

それまでの間、Knibbe氏とBos氏は、CVEの深刻度やCVSSスコアだけに頼らず、利用可能なベクター・指標・分析データを活用してできる限り多くのコンテキスト情報を収集する脆弱性優先順位付けシステムを組織に構築するよう促しています。

「理想的な状況は、組織独自の意思決定ツリーを持ち、そこにあらゆる指標と値を入力して、自社に最適な結果を導き出すことだと思います」とKnibbe氏は述べています。