米国国立標準技術研究所(NIST)は、提出数の急増により対応が困難になったことを理由に、ソフトウェア脆弱性の分析・スコアリング方法を縮小している。
「長年の間、セキュリティチームは優先順位付けの決定を支援するために脆弱性コンテキストをNVDに依存してきた。しかし、そのモデルは現在、本当のプレッシャーの下にある」と、Flashpointのインテリジェンス担当副社長であるイアン・グレイはeSecurityPlanetへのメールで述べている。
彼は付け加えて、「CVE提出は2020年から2025年の間に263%増加し、NISTはもはやすべてを充実させることで対応することができなくなっている」と述べた。
NISTのNVDへの変更が説明されている
NISTは、MITREのCVEシステムをCVSSスコア、影響を受けるプロダクトの詳細、およびアドバイザリーとパッチへのリンクで強化する国立脆弱性データベース(NVD)を維持している。
この充実は、生の脆弱性データをより実用的にすることにより、セキュリティチームが修復努力の優先順位を付けるのを支援してきた。
脆弱性開示の急増
しかし、脆弱性の開示が引き続き急増する中、NISTはリソースの配分方法を調整している。
同機関によると、提出量はここ数年で260%以上増加し、2026年も上昇し続けている。
NISTは2025年に約42,000の脆弱性を充実させたが、現在のボリュームでは、すべての新しいCVEに対して同じレベルの詳細な分析を維持することはもはや持続不可能であることに注目した。
新しいNVD優先順位付けの基準
4月15日に発効した新しい優先順位付けアプローチの下で、NISTは充実努力を、より限定的な高インパクト脆弱性のセットに焦点を当てるだろう。
これには、CISAの既知悪用脆弱性(KEV)カタログにリストされているもの、米国の連邦政府システムに影響を与える脆弱性、および大統領令14028の下で特定された重要なソフトウェアに関連する問題が含まれる。
これらの場合、NISTは、標準化された重大度スコアリングとプロダクトマッピングを含む完全な分析を引き続き提供する。
CVEに対して「スケジュール未定」が何を意味するか
他のすべての脆弱性はまだNVDで公開されるが、同じレベルの充実を受けなくなる可能性がある。
代わりに、ベンダーやセキュリティ組織などの発信元のCVE番号付与機関(CNA)によって提供される重大度スコアと詳細に主に依存するだろう。
これらのエントリは、さらなるNIST分析のために「スケジュール未定」とラベル付けされる可能性があり、これはNISTから一貫したCVSSスコアリングまたは追加の技術的文脈を欠いている可能性があることを意味する。
セキュリティチームへの課題
この転換は、脆弱性管理のためにNVDデータに依存する組織、特に大規模または複雑な環境にわたってリスクを評価するときに課題をもたらす可能性がある。
CNA提供のデータは品質と深さが異なる可能性があり、セキュリティチームが脆弱性情報を検証・補完するためにより多くの時間を費やす必要があるかもしれない。
NISTはこれらの制限を認め、いくつかの影響力のある脆弱性がその優先順位付け基準の外にある可能性があることに注目した。
ギャップに対処するのを支援するため、同機関は、組織が必要に応じて充実を求めることを可能にする、特定のCVEに対する追加分析をリクエストするためのプロセスを導入した。
NVD変更にどのように適応するか
セキュリティチームは、NVD充実の削減の観点から、脆弱性のトリアージと優先順位付けの方法を調整する必要があるかもしれない。推奨される手順は次のとおりである:
- NVD充実が利用できないときは、ベンダーアドバイザリーとCNA提供のデータにより重くしばしば依存する
- 脅威インテリジェンスソース(搾取データとKEVリストなど)を優先順位付けのワークフローに組み込む
- 内部スコアリングモデルを標準化して、矛盾した外部の重大度評価を補足または検証する
- 脆弱性管理プロセスを自動化して、より高いデータボリュームと変動性を処理する
- 監視する:NISTによって優先順位付けされていなくても、重要な資産に影響を与える脆弱性
- 複数のソースにわたって脆弱性データを検証およびクロスリファレンスして、ブラインドスポットを減らす
- インシデント対応計画をテストして、完全な公開コンテキストを欠いている可能性のある脆弱性に対する対応の準備ができていることを確認する
まとめて、これらの手順は、脆弱性データソース全体にわたって可視性と意思決定を強化することにより、組織が回復力を構築し、露出を減らすのを支援する。
脆弱性管理がなぜより難しくなっているのか
NISTの動きは、サイバーセキュリティのより広い傾向を反映している:規模の成長する課題。
脆弱性の開示が引き続き上昇する中で(AI支援の発見技術と自動研究の一部により駆動される)、NVDのような集中リソースは、完全性と有用性のバランスをとるために増加するプレッシャーの下にある。
同時に、AIは攻撃者が弱点をより迅速に特定し、潜在的に搾取するための障壁を低下させ、応答タイムラインをさらに圧縮している。
優先順位付けが必要になるにつれて、より多くの責任が個々の組織にシフトして、不完全または矛盾したデータを解釈および実行する。
また、外部の重大度スコアだけでなく、資産の重大性、搾取可能性、および実世界の脅威活動に基づいている、文脈駆動型脆弱性管理の必要性も強化する。
この転換は、脆弱性管理がより複雑で分散化されていても、組織が露出を制限し、一貫したアクセス制御を実施するのを支援する、ゼロトラスト解決策の価値を強調している。
