NIST、脆弱性データベースNVDの運用方針を刷新へ 急増するCVEに対応、リスクベースの新基準導入

米国立標準技術研究所（NIST）が、セキュリティ情報の基盤である脆弱性情報データベース（NVD）の運用方針を根本から見直す。背景には、処理すべき共通脆弱性識別子（CVE）の急増があり、従来の全件対応が限界に達している。NISTは限られた人的・技術的リソースを最適化し、データベースの持続可能性を確保するため、「リスクベース」の新たな基準を導入する方針だ。

具体的には、全てのCVEに均等にリソースを割り当てるのではなく、実際の脅威や影響度に基づいて優先順位を決定する。これにより、重大な脆弱性の情報は迅速かつ詳細に公開される一方で、リスクが低いと判断された脆弱性の情報は、エンリッチメント（詳細情報の付与）が遅れたり、最小限の情報のみが掲載されたりする可能性がある。この変更は、世界中のセキュリティチームや製品開発者が依存するNVDの情報提供の在り方を大きく変える。

この運用方針の刷新は、脆弱性管理のエコシステム全体に波及する。セキュリティベンダーや企業のIT部門は、これまでNVDが提供していた網羅的で均質な情報を前提とした自社のプロセスやツールを見直す必要に迫られる。特に、自動化されたスキャンやコンプライアンスチェックにNVDデータを活用している組織では、影響が大きい。NISTは持続可能な運用を目指すが、情報の質や量のばらつきが新たなリスクや混乱を生む可能性も指摘されている。