米国国立標準技術研究所(NIST)は、サイバーセキュリティ脆弱性を追跡するシステムに重大な変更を加えることを発表し、バグ提出が毎年指数関数的に増加していることを認めました。
NISTは、特定の基準を満たす脆弱性の記録にのみ詳細情報を追加すると述べ、サイバーセキュリティ脆弱性と露出(CVE)のすべてを分類する長年の使命を変更します。
当局は通常、National Vulnerability Database(NVD)に提出された後、脆弱性の説明と重大度スコアなどのデータをCVEレコードに追加します。水曜日のNISTの声明によると、今年の提出数の大量流入により、このタスクは不可能になりました。
「2026年最初の3ヶ月間の提出数は、昨年の同時期よりも約3分の1多くなっています。これまで以上に速く作業しています。2025年にほぼ42,000のCVEを強化しました—いかなる前年よりも45%多いです。しかし、この生産性の向上では、増加する提出に対応するのに十分ではありません。」
NVDを運営するNISTは、新しい基準を満たさないCVEはリストされたままですが、新しい情報は追加されないと述べました—サイバーセキュリティ専門家が「エンリッチメント」と呼ぶプロセスです。
水曜日から、NISTはサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)が組織する悪用された脆弱性の連邦カタログに表示されるCVEのみをエンリッチします。カタログに追加されたバグはCISAからの通知から1日以内にエンリッチされます。
連邦政府が使用する製品のCVEと「重要」と見なされるソフトウェアもNISTによってエンリッチされます。
NISTは、この変更により最も重要なCVEに焦点を当て、「長期的な持続性に必要な自動化されたシステムとワークフロー改善」を開発しながら作業を継続できると述べました。
サイバーセキュリティ専門家および人工知能企業は、AIコードレビューツールの民主化により、人気のある製品における新しいが時に軽微な脆弱性が大量に発生していると繰り返し警告しています。
最近のAIサイバーセキュリティの発展は、指示なしにバグを発見して即座に悪用できる能力を持つ自律システムについてさらなる警告を鳴らしています。
人員削減とNISTでの厳しい予算削減は、NISTに送られた脆弱性提出の90%がエンリッチされなかった2024年の危機を引き起こしました。CISAはその空白を埋めるために介入し、将来の計画を立てるためにコンソーシアムが作成されたため、NIST代わりに数千の脆弱性をエンリッチしました。
NVDの上級指導者は、脆弱性の数が毎年増加し続けている間に、スタッフが同じ21人のままだったと述べました。
数十人のサイバーセキュリティ専門家が、当時議会と商務長官ジーナ・ライモンドに手紙に署名し、NVDに資金を提供して保護するよう懇願し、「様々なサイバーセキュリティ製品の重要インフラストラクチャ」と呼びました。
「NVDは、世界中の民間および公共部門のあらゆる組織がテクノロジーシステムを対象とした脆弱性悪用攻撃に対抗するためにどのように機能するかの重要な部分です」と手紙は述べています。「この機能の喪失とこの問題についてのNISTからサイバーセキュリティコミュニティおよびそれに依存する組織への透明な通信の欠如に深く懸念しています。」
取り残されたCVEバックログ
NISTは2024年と2025年の終わりを通じてバックログをクリアすることを繰り返し誓いましたが、水曜日にその資金上の失敗から残された数千のレコードをエンリッチすることは彼らにとって不可能であることを認めました。
「残念ながら、提出率の増加の一部が原因で、そのバックログをクリアできていません。したがって、上記の新しい優先基準を実装する際に、2026年3月1日より前のNVD公開日を持つすべてのバックログされたCVEを「スケジュール済みでない」カテゴリに移動します」と当局は述べました。
NISTはバックログを調べて、新しい基準を満たす脆弱性を取り出し、他の脆弱性よりも優先します。
発表全体を通じて、NISTは新しい基準を満たさないバグでさえ「影響を受けたシステムに大きな影響を与える可能性がある」と述べ、新しいルールは「すべての潜在的に高影響のCVEをキャッチできない可能性がある」ことを認めました。研究者はNISTにメールを送信してCVEエンリッチメントをリクエストできます。
NISTはまた、提出されたすべてのCVEに対して独自の重大度スコアを提供しなくなり、代わりに提出者が提供するスコアに完全に依存すると述べました。
当局は、この変更により「データベースがサイバーセキュリティ脆弱性に関する信頼でき、持続可能で公開利用可能な情報源として機能し続ける」ことができると述べました。
「これらの変更がユーザーに影響を与えることを認識しています。しかし、このリスクベースのアプローチは、NVDコミュニティのニーズに合わせるために取り組む際にCVE提出の現在の急増を管理するために必要です」とNISTは述べました。
Bugcrowdのトレイ・フォードは、NISTは「研究コミュニティが何年も理解していることを認識しています:この量で脆弱性トリアージを一元化することはできず、それが続くことを期待することはできません」と述べました。
「実際には修復優先度を動かす信号は常に実世界の悪用可能性から来ており、データベースメタデータからではなく、ライブ環境に対して継続的に機能する敵対的本能を持つ人間の研究者が必要です」と彼は述べました。
「次の世代の脆弱性プログラムは、その種のアクティブで分散された信号の周りに構築され、四半期ごとのエンリッチメントサイクルではなく構築されます。」
翻訳元: https://therecord.media/nist-to-limit-work-on-cve-entries-surge
