NISTは、脆弱性提出の急増を受け、国立脆弱性データベース(NVD)の管理方法を大幅に改善し、リスクベースのモデルへシフトすると発表しました。
この変更は、2020年から2025年の間に共通脆弱性識別子(CVE)の提出が263%増加したことに伴うもので、報告されたすべての欠陥を分析する同機関の能力に大きな圧力をかけています。
2025年だけで、NISTは記録的な42,000件の脆弱性を処理し、前年比45%の増加を記録しました。2026年初期のトレンドは、提出率がすでにその記録を上回っていることを示しています。
この増加する課題に対処するため、NISTは従来の包括的分析モデルから脱却し、脆弱性を実世界でのリスクと影響に基づいて優先順位付けすることにします。
2026年4月15日より、NISTは高優先度の脆弱性のみを選別的に「強化」します。
強化とは、重大度スコア、悪用可能性の詳細、影響を受けた製品情報などの主要なメタデータを追加することを指し、セキュリティチームが脅威を迅速に評価して対応するのに役立ちます。
その他のすべての提出はNVDに含まれますが、「最低優先度」のステータスが割り当てられます。これらは特定の環境でもリスクをもたらす可能性がありますが、NISTはこれらが一般的に広範なシステミックな影響を欠いていることに注目しています。
優先度の低い脆弱性に対してより深い分析が必要な組織は、NISTに直接手動の強化をリクエストできます。
優先順位付けと並行して、NISTは重複を減らし、効率を向上させるために内部プロセスを簡潔にしています。
主な変更点の1つは、CVE番号付与機関(CNA)がすでに重大度スコアを提供している場合、同機関は独自に重大度スコアを割り当てなくなるということです。
さらに、NISTは更新が既存の強化データに大きな影響を与える場合にのみ脆弱性を再分析します。
その結果、以前は遅延していた多くのエントリは、今後数週間で「強化後に変更」として再分類されます。
特に2024年初期以降に蓄積した提出に対処するために、NISTは2026年3月1日より前に公開された強化されていないすべての脆弱性を「スケジュール未定」カテゴリに移動させます。
ただし、KEVリストに登録された脆弱性は、既存のリスク管理ポリシーの下で優先処理を受け続けます。
移行をサポートするため、NISTはNVDダッシュボードを更新し、リアルタイム処理メトリクスとより明確なステータスラベルを追加しました。
これらの変更は、セキュリティチームが各脆弱性が分析パイプラインのどこに位置しているかをより良く可視化できるようにすることを目的としています。
このシフトは、より広い業界の現実を反映しています。脆弱性のボリュームが増加するにつれて、積極的な悪用とシステミックリスクに基づいた優先順位付けが、効果的なサイバーセキュリティ防御にとって不可欠になっています。
翻訳元: https://cyberpress.org/nist-shifts-to-risk-based-nvd-model/
