米国立標準技術研究所(NIST)は、毎年増加する脆弱性の洪水に対応しきれなくなり、National Vulnerability Database(NVD)の分析体制を見直した。同研究所は1月22日、CVE(共通脆弱性識別子)の分析優先順位を大幅に絞り込む方針を発表した。
NISTは今後、サイバーセキュリティ・インフラセキュリティ庁(CISA)が公開する「既知の悪用済み脆弱性リスト」に掲載された脆弱性や、連邦政府で使用されるソフトウェア、大統領令14028で定義された重要ソフトウェアに関連するCVEのみを優先的に分析する。この変更により、NVDプログラムの長期的な持続可能性と安定性を確保する狙いだ。
同研究所は、2024年初頭の資金不足により一時的に多くの脆弱性に関するメタデータ提供を停止した過去の課題も踏まえ、体制の再構築を図る。しかし、その間に蓄積された未処理のCVEは依然として解消されていない状況にある。
脆弱性の急増とNISTの対応
NISTによると、2025年までの5年間でCVEの提出件数は263%増加し、2025年には約4万2,000件の脆弱性を分析した。さらに、2026年の第1四半期の提出件数は前年同期比で3分の1以上増加しており、その傾向は今後も続くと予測している。
例えば、Microsoftは2025年12月に過去2番目に多い165件の脆弱性を修正したが、これは毎月の平均を大幅に上回る数だ。NISTは、優先順位の基準に該当しないCVEについてもNVDに掲載はするものの、追加の詳細情報は自動的に付与しない方針を示した。
「これにより、広範な影響を及ぼす可能性の高いCVEにリソースを集中させることができる」とNISTは説明。また、「優先順位の基準に該当しない脆弱性であってもシステムに深刻な影響を与える可能性はあるが、システム全体に対するリスクは相対的に低い」としている。
セキュリティ研究者からの評価
この新たなアプローチは、セキュリティ研究者や脅威ハンターから概ね肯定的な評価を受けている。Trend MicroのZero Day Initiativeで脅威認識責任者を務めるDustin Childs氏は、「NISTはCVEの分類作業で大きく遅れをとっており、以前の体制では追いつくことは不可能だった。この変更により、優先順位をつけた作業が可能になる」と述べた。
一方で、VulnCheckのセキュリティリサーチ担当副社長Caitlin Condon氏は、優先順位付けの課題が依然として残っていると指摘する。同社が2025年にカタログ化した4万件以上の新規脆弱性のうち、実際に悪用されたものはわずか1%(422件)に過ぎなかったという。
今後の影響と課題
NISTの新たな方針は、脆弱性研究コミュニティ全体に影響を与えるだけでなく、民間企業や組織にも新たな権限を与える可能性がある。防御側は代替ソースを模索する動きが加速し、脆弱性の優先順位付けに関する議論がさらに活発化すると見られる。
NISTは、重複した分析作業の削減にも取り組んでおり、効率的な脆弱性管理体制の構築を目指している。
関連記事
シスコ、深刻なゼロデイ脆弱性を悪用する攻撃を確認 – 管理者権限奪取のリスク
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
米国防総省幹部「先端AIは戦争を根本から変える革命的技術」
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
米ホワイトハウス高官が指摘:AI時代のサイバーセキュリティで「アイデンティティ管理」が最重要に
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
フォックスコン、北米工場へのサイバー攻撃を確認 8TBのデータ流出主張するランサムウェアグループが犯行声明
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI便分析アプリがユーザーの15万枚の便画像データベースを販売 — 倫理的・プライバシー問題で波紋
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI最新モデルが自律型サイバータスクのベンチマークを突破、専門家に衝撃
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
下院安全保障委員会、AIモデル「Mythos」のサイバー脆弱性検出能力を調査
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AIを悪用した詐欺となりすましの新たな脅威:企業が直面するリアルタイムのリスク
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...