1. NIST、脆弱性データベースNVDの運用方針を刷新へ 急増するCVEに対応、リスクベースの新基準導入
米国立標準技術研究所(NIST)が、セキュリティ情報の基盤である脆弱性情報データベース(NVD)の運用方針を根本から見直す。背景には、処理すべき共通脆弱性識別子(CVE)の急増があり、従来の全件対応が限界に達している。NISTは限られた人的・技術的リソースを最適化し、データベースの持続可能性を確保するため、「リスクベース」の新たな基準を導入する方針だ。 具体的には、全てのCVEに均等にリソースを割り当てるのではなく、実際の脅威や影響度に基づいて優先順位を決定する。これにより、重大な脆弱性の情報は迅速かつ詳細に公開される一方で、リスクが低いと判断された脆弱性の情報は、エンリッチメント(詳細情報の付与)が遅れたり、最小限の情報のみが掲...