米国商務省標準技術局(NIST)の最近の発表によると、同機関は国家脆弱性データベース(NVD)の管理方法を根本的に再構築しています。
2020年から2025年の間にCommon Vulnerabilities and Exposures(CVE)の提出が263%という大幅な増加に牽引され、NISTは包括的な分析アプローチから標的化されたリスク基盤型モデルへシフトしています。
昨年42,000件の脆弱性を処理し、前年比45%増となったにもかかわらず、同機関は2026年初頭の現在の提出率が既にそれらの数字を上回っていることを指摘しています。
長期的な持続可能性を確保し、深刻な脅威への直接的な焦点を維持するため、NISTは今後、すべての提出を分析するのではなく、特定の高リスク基準を満たす脆弱性を選択的に「拡張」します。
高優先度拡張基準
2026年4月15日から、NISTは最も大きなシステミック・リスクをもたらす脆弱性に即座の拡張努力を集中させます。
拡張には、重大度スコアや影響を受けた製品リストなどの重要なメタデータを追加することが含まれます。これによりサイバーセキュリティ専門家はパッチ適用と緩和の取り組みを優先順位付けできます。新しい優先順位付けモデルは以下を対象とします:
- サイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)の既知悪用脆弱性(KEV)カタログに記載されている脆弱性。NISTは1営業日以内にこれらを処理することを目指しています。
- 連邦政府内で使用されるシステムに影響を与えるソフトウェア欠陥。
- 大統領令14028によって定義される重要なソフトウェアに影響する脆弱性。
これら3つのカテゴリに当てはまらない提出もNVDに入力されますが、「最低優先度」の指定を受けます。
これらの優先度の低い欠陥は特定のシステムに深刻な影響を与える可能性がありますが、NISTはそれらは一般的に優先度付けされたカテゴリの広範なシステミック・リスクを欠いていることを示唆しています。
ただし、セキュリティチームはメールでNISTに直接連絡することで、特定の優先度の低い項目に対する手動拡張をリクエストできます。
新しい優先順位付けマトリックスとともに、NISTは重複する取り組みを削減し、既存のキューを管理するために複数の運用ワークフローを合理化しています。
提出したCVE番号付与機関が既に重大度スコアを提供している場合、同機関は脆弱性に独自の重大度スコアを割り当てることを中止します。
さらに、NISTは脆弱性を更新するためのアプローチを変更しています。NVDチームは、新しい変更が既存の拡張データに物質的に影響する場合にのみ、修正されたエントリを再分析します。
この手続き上の変化により、以前延期された数千の脆弱性が今後数週間にバッチで「拡張後の修正」ステータスに再分類されます。
2024年初頭から蓄積し始めた大きなバックログに対処するため、NISTは2026年3月1日前に公開された拡張されていないすべての提出を「スケジュール未定」カテゴリに移動しています。
同機関は、このバックログはCISA KEVエントリを除外することを明確にしました。これらのエントリは長年のリスク管理フレームワークの下で優先的に処理されます。
この移行中の透明性を向上させるため、NISTはNVDダッシュボードを更新してリアルタイム処理統計を報告し、各脆弱性がパイプライン内のどこに現在いるかを明確に伝えるための新しいステータスラベルを導入しました。
翻訳元: https://gbhackers.com/nist-adopts-risk-based-nvd-model-as-cve-submissions/
