米国標準技術研究所(NIST)は、提出ボリュームの増加による業務負荷の急増に伴い、優先度の低い脆弱性への重大度スコア割り当てを中止します。
2026年4月15日以降、このサービスは、それらがもたらすリスクに関連する特定の基準を満たすセキュリティの問題についてのみ分析と追加の詳細情報(例:重大度評価、製品リスト)を提供します。
国立脆弱性データベース(NVD)は引き続きすべての提出脆弱性をリストアップしますが、優先度が低いと見なされるものについては、それを評価し提出したCVE番号付与機関(CNA)からの重大度評価のみが提供されます。
今週の発表で、この非規制的な連邦機関は、以下の基準のいずれかを満たす脆弱性についてのみ追加の詳細情報を提供すると述べています:
- CISA既知悪用脆弱性(KEV)カタログに含まれているもの
- 米国連邦政府ソフトウェアに影響を与えるもの
- 大統領令14028に基づく重要ソフトウェアに関連するもの
NISTは、提出数の大幅な増加(最近263%増加し、2026年も継続して加速中)によってこの決定が駆動されたと説明しました。同機関は2025年に42,000個のCVEをエンリッチメントしましたが、増加し続けるボリュームに対応することはもはや困難になっています。
NIST NVDは、既知のソフトウェア・ハードウェア脆弱性の公開中央集約型データベースであり、CNAs(ベンダーおよび非営利団体のMITRE Corporationなど)によって割り当てられた一意の識別子(CVE ID)に加えて、追加の説明と分析を提供します。
脆弱性の詳細をエンリッチメントする目的は、CVEエントリーをリスク管理に使用可能にすることであり、重大度スコアの割り当て、影響を受ける製品バージョンの特定、弱点の分類、ならびにアドバイザリーやパッチへのリンク、関連する研究の提供が含まれます。
NIST NVDは、セキュリティ研究者、ソフトウェアベンダー、政府機関、IT専門家、ジャーナリスト、および特定のセキュリティ上の問題に関する詳細情報を求める一般ユーザーによって普遍的に使用されています。
「提出されたすべてのCVEはまだNVDに追加されます。ただし、上記の基準を満たさないものは「スケジュール未定」に分類されます」とNISTが説明しています。
「これにより、最大の広範な影響可能性を持つCVEに焦点を当てることができます。これらの基準を満たさないCVEは、影響を受けたシステムに重大な影響を与える可能性がありますが、一般的には優先カテゴリーのものと同じレベルのシステムリスクを呈しません。」
NISTは、新しいルールでは潜在的に高い影響を持つCVEが漏れる可能性があることを認めています。このため、この機関は「最優先度以外のすべてのCVE」のエンリッチメント要求を「[email protected]」のメールで受け入れています。
エンリッチメントの欠如または顕著な遅延は2024年以来目立っていましたが、その機関は今や最も重要なエントリーに焦点を当てることを正式に宣言しました。
