当局は今後、限定的なケースでのみCVEに詳細情報を追加し、既知の悪用された脆弱性と漠然と定義された「重要ソフトウェア」を優先します。
増加するセキュリティ脆弱性の量に圧倒された米国国立標準技術研究所(NIST)は、サイバーセキュリティ脆弱性および露出(CVE)の取り扱い方法に関する重大な変更を発表しました。
国立脆弱性データベース(NVD)のすべてのエントリに対する詳細情報の提供を約束するのではなく、当局は最も重要なCVEのみに焦点を当てます。これにより「長期的な持続性に必要な自動化システムとワークフロー改善を開発する間に、プログラムを安定化させることができます。」
直ちに開始して、NISTはCISAの既知悪用脆弱性(KEV)カタログに掲載されているCVEに焦点を当てます。「当社の目標は、受け取ってから1営業日以内にこれらを詳細化することです」と当局は述べました。
その他の優先度の高いCVEには、連邦政府で使用されるソフトウェアおよびその他の重要ソフトウェア向けのものも含まれます。
その他すべてのCVEはNVDに追加されますが、「スケジュール予定なし」として分類され、NISTはもはやそれらの詳細化を優先しません。
バックログに破綻
NISTによると、CVEのバックログは2024年初頭に蓄積し始め、提出の増加により当局は対処できずにいます。
2020年から2025年の間に提出数は263%増加し、2026年第1四半期だけで前年同期比でほぼ3分の1多くの脆弱性が報告されました。
2025年に約42,000個のCVEを詳細化した当局(前年比で45%以上増)は、現在30,000個以上のCVEの総バックログに直面していると、NISTの技術・プログラム責任者ハロルド・ブースは今週のVulnConサイバーセキュリティ会議で述べました。
CSO
その結果、NISTは最も重大な脆弱性以外のすべての詳細化を中止することになります。
3月1日より前に受け取られたバックログのCVEも「スケジュール予定なし」とラベル付けされます。ブースによれば、これらは重大な脆弱性ではありません。なぜなら重大な脆弱性は常に最初に処理されるからです。
「彼らは公然と『このバックログを克服することはできない』と述べた」とTrend MicroのZero Day Initiativeの脅威認識責任者ダスティン・チャイルズはCSOに語りました。
さらに、NISTは報告組織が提供するスコアで提出されたCVEについて、重大度スコアを計算しなくなります。
NIST詳細化に依存するセキュリティリーダーは、チャイルズが述べたように、技術資産を評価して、NISTの優先リストに該当するかどうかを確認する必要があります。これは簡単ではありません。
「ディスカバリーは私たちが直面している最も難しい問題の1つです」と彼は述べ、どのソフトウェアが実際に優先カテゴリに該当するかも明確ではないと付け加えました。「連邦政府で使用されるソフトウェア』は非常に漠然とした表現です。」
増加するCVE数 — AI欠陥検出の上昇とともに
チャイルズはCVE数が増加している理由の一部にAIを挙げており、その傾向に驚いていません。
「AIに関連した粗悪なCVEと本物のCVEの両方がより多く報告されています」と彼は言います。
これらのCVEに対処することは企業にとって大きな問題になります。「人々はまだパッチを当てていません」と彼は言います。「そして、展開する必要があるパッチの数は4倍になります。企業全体にわたって防御をどのように構築しますか?悪意のある者たちがそうする前に対応できるかどうか、確実ではありません。」
インシデント対応・セキュリティチーム(FIRST)フォーラムによると、59,427個のCVEが今年提出されると予想されており、2025年からはわずかに48,000を超えています。これにより2026年はCVEが50,000マイルストーンを超える最初の年となります。
「脆弱性発見と悪用の速度は、かつて見たことのないようなものです」とFIRST CEOクリス・ギブソンはCSOに語りました。
FIRSTはまた、2026年にCVEの総数が100,000を超える「現実的なシナリオ」をモデル化しました。ただし、これは2月時点のことで、AnthropicがMythosを発表する前のことです。多くの専門家はこの脆弱性発見AIモデルをサイバーセキュリティ業界の構造的転換と見ています。
「そしてそれがMythosではなく、別のものだったとしても、来週には何か新しいものが登場するでしょう」とEmpiricalセキュリティの創業者でFIRSTの搾取予測スコアリングシステム特別利益グループを率いるジェイ・ジェイコブズは述べました。
それでもジェイコブズは、技術を活用することがNISTがCVEの増加に対処するのに役立つと楽観視しています。
「ハロルド・ブースはここ数年、AIで多くの経験と技能を持っています」とジェイコブズはCSOに語りました。「ですから、彼が専門知識をもたらすことを期待しており、AIに関するニュースが発表されることを望んでいます。」
大規模言語モデルとAIエージェント、そして従来の業務プロセス自動化(RPA)が当局のロードマップに含まれていると、ブースはVulnConでのプレゼンテーションで述べました。ジェイコブズはこの会議の議長を務めています。NISTはまた、セキュリティベンダーと研究者を含むCVE番号機関(CNA)にいくつかの作業を委任する計画です。
