脆弱性報告の殺到はかつてないほどの高みに達しており、政府インフラさえもそのペースについていくのに苦労しています。米国標準技術研究所(NIST)は、従来のエントリ処理方法がもはや持続不可能であることを認め、対応ルールの根本的な転換を促しました。
危機はCVEデータの保管庫である国立脆弱性データベース(NVD)に集中しています。歴史的には、スペシャリストはエントリが含められるたびに詳細な説明と重大度評価を追加していました。NISTは今、この普遍的な慣行を放棄し、新たに確立された優先度の閾値を超えるレコードのみを充実させることを選択しました。
このシフトの原動力は数学的に明白です。2026年第1四半期は前年比で約30%の急増を目撃しました。2025年、NISTは約42,000の脆弱性を処理しました—以前の記録を45%上回っていますが—それでもこの加速した対応は新しい開示の絶え間ない波を阻止することができませんでした。
今後、詳細なメタデータ—しばしば「充実」と呼ばれる—は主にCISA既知悪用脆弱性(KEV)カタログ内の脆弱性のために予約されます。そのようなエントリには24時間以内の充実が保証されます。優先度はまた、米国政府が使用する製品とミッション・クリティカルな ソフトウェアにも拡張されます。
ソフトウェア
残りの脆弱性はデータベース内に存在し続けますが、補足データなしで保持されます。さらに、NISTはすべてのエントリに対して独自の重大度スコアを割り当てることを中止し、代わりに元のレポーターによって提供された評価に委ねます。
NISTはこれらの調整を、本当に重大な異常に集中しながら自動化プロトコルを推進する戦略的な試みとして位置付けています。この構造的負担はAI駆動ツールの増殖に部分的に起因します。これは、広く使用されている製品のわずかな欠陥さえも迅速に特定することを容易にします。同時に、自動化システムが間もなく脆弱性を特定するだけでなく、瞬間に兵器化するかもしれないという懸念が高まっています。
これらの構造的な失敗はしばらく前から進行しています。2024年、予算削減とスタッフ不足の中で、ほぼ90%のエントリが未処理のままでした。これはCISAが一時的に作業負荷の一部を引き受け、業界指導者がNVDを強化するよう米国議会とジナ・ライモンド商務長官に請願することを促しました。
状況は依然として不安定です。NISTは現在、指数関数的に増加するアーカイブを管理するためにわずか21人のスタッフを雇用しています。同機関は、蓄積されたバックログは克服不可能なままであることを認めました。その結果、2026年3月1日より前に公開された処理されていないすべてのエントリは「予定なし」として分類されます。限定的なものは、重大と判断された場合は再検討されるかもしれませんが、大多数は行政的な不確定の状態のままになります。
NIST内でさえ、当局者はこの新しい枠組みが不完全であり、重大な脅威を見落とすリスクがあることを認めています。スペシャリストはまだ特定のレコードの手動充実をリクエストすることができますが、業界はこのシフトを避けられないことへの譲歩として認識しています。現在の環境では、個別の脆弱性それぞれの一元的な分析は物流的に不可能です。ますます、優先度はデータベースエントリではなく、実戦で欠陥がどの程度激しく行使されるかによって決定されます。
