TokyoBlackHatNews

helpnetsecurity.com 4分で読了

NISTはNVDバックログでの敗北を認める、今後は最高リスクCVEのみを充実させる

NISTは国家脆弱性データベース(NVD)の管理方法を改革し、リスクベースのモデルに切り替えており、最も重大なCVE番号付きセキュリティ脆弱性のみの「充実」を優先しています。

「この変化は、2020年から2025年の間に263%増加したCVE提出の急増によって推進されています」と、米国国立標準技術研究所は述べています。「我々はこのトレンドがすぐに減速するとは期待していません。」

Image

2年間の苦闘と新しいアプローチ

NISTは2年以上、説明、重大度(CVSS)スコア、既知の影響を受けるソフトウェア構成などの関連情報でNVDのCVEエントリを更新するのに苦労していますなど

この問題は2024年初めに認識され、時折の楽観的な更新にもかかわらず、CVE番号付きセキュリティ問題の本当の波状攻撃はNVDのアナリストが対処するには多すぎることが今明らかになっています。

「我々はかつてないスピードで作業しています。2025年にはほぼ42,000のCVEを充実させました。これは過去のどの年よりも45%多いです。しかし、この生産性の向上は増加する提出に追いつくには十分ではありません。したがって、我々は新しいアプローチを導入しています」とNISTは発表しました。

「提出されたすべてのCVEはまだNVDに追加されます。ただし、上記の基準を満たさないものは「スケジュール予定なし」として分類されます。これにより、広範な影響を与える可能性が最も高いCVEに集中することができます。」

Image

新しいNVD CVE処理ワークフロー(出典: NIST)

今後、充実の優先順位を付けられるCVEエントリは、3つのカテゴリのいずれかに分類されます:

  • サイバーセキュリティおよびインフラストラクチャセキュリティ庁の既知の悪用脆弱性カタログに既に追加されている
  • (米国)連邦政府内で使用されるソフトウェアに影響を与える
  • 重要なソフトウェアに影響を与える(大統領令14028で定義されている):
    • アイデンティティ、認証情報、およびアクセス管理(ICAM)システム
    • オペレーティングシステム、ハイパーバイザー、およびコンテナ環境
    • ウェブブラウザ
    • エンドポイントセキュリティソフトウェア
    • ネットワーク制御ソフトウェア
    • ネットワーク保護製品
    • ネットワーク監視および構成ツール
    • 運用監視および分析ソフトウェア
    • リモートスキャンソフトウェア
    • リモートアクセスおよび構成管理ツール
    • バックアップ/リカバリおよびリモートストレージソフトウェア
    • 上記のいずれかのカテゴリに該当するオープンソースおよび政府開発ソフトウェア
    • 特定の場合、上記のカテゴリのいずれかに該当するソフトウェアの動作のために統合および必要なライブラリ、パッケージ、およびモジュール

NISTはまた、エントリに独自の重大度スコアを定期的に追加することを停止し、CVE番号付与機関によって提供されたものに依存するようになります。また、2026年3月1日より前のNVD公開日を持つCVEを充実させません。

ユーザーはメールを介して、NISTのアナリストに特定の影響度の高い未スケジュール化されたCVEを充実させるか、別の重大度スコアを提供することをリクエストできますが、これらのリクエストがどの程度の速さで確認・対応されるかは未だ不明です。

LLMが脆弱性発見に益々使用されており、AnthropicおよびOpenAIがClaude MythosGPT-5.4-Cyberを検証済みセキュリティ研究者とチームと共有しているため、CVE提出の波は更に強まるでしょう。

アナリストにかかる負荷の一部を軽減することで、NISTはその量を処理できるより優れた自動ツールを構築するための時間を確保することを期待しています。

CVEプログラムの問題

NISTの発表は、NVDの基礎となるCVEプログラムに関する更新された不確実性の中で発生しています。

MITREによって運営され、米国国土安全保障省によって主に資金提供されているこのプログラムは、昨年連邦資金契約が期限切れになろうとしていた時にほぼ崩壊しました。CISAが最後の瞬間に介入し、独立したCVE財団を確立する取り組みを引き起こしました。

CVEプログラムボード委員のKatie Nobleは最近、AI駆動の脆弱性レポートの急増がプログラムに負担をかけており、それは関連性を保つために進化する必要があると警告しました

EUのサイバーセキュリティ機関ENISAのインシデント・脆弱性サービス部門責任者であるNuno Rodrigues Carvalhoは、Help Net Securityに対して、この重要性を持つ世界的な公共良善サービスは、財政的、機関的、または運用的であれ、潜在的な「単一障害点」に過度に依存すべきではなく、より強力なモデルは共有CVEバックボーンの完全性を保護し、容量、サービス、および運用支援を提供できる信頼できる関係者に責任を分散させるだろうと述べました。

ENISAは、彼が述べたように、プログラムに貢献する準備ができており、並行してヨーロッパの脆弱性サービス容量を構築し続けています。

当機関は現在、CVEプログラムのトップレベルのルートCVE番号付与機関となることのプロセスにあり、これにより操作と進化に影響を与えることができます。

翻訳元: https://www.helpnetsecurity.com/2026/04/16/nist-national-vulnerability-database-nvd-enrichment/

ソース: helpnetsecurity.com
#CISA #CVE #CVEプログラム #NIST #NVD #サイバーセキュリティ #セキュリティ政策 #脆弱性データベース #脆弱性管理 #脆弱性評価

関連記事

Tails 7.6.2が保存ファイルの公開につながる可能性のある脆弱性を修正

Google PlayがAndroidアプリによる連絡先とロケーションアクセス方法を変更

Anthropicが自動サイバーセキュリティセーフガード機能を備えたClaude Opus 4.7をリリース