概要
米国立標準技術研究所(NIST)は2026年4月15日、国家脆弱性データベース(NVD)の運用方針を抜本的に見直すと発表した。2020年から2025年にかけてCVE申請数が263%急増し、2026年第1四半期の申請数も前年同期比で約33%上回るなど、成長が加速するなかで、NISTは2025年に過去最高の約42,000件のCVEをエンリッチメント(詳細情報付与)したものの、それでも申請ペースに追いつけない状況を認めた。2025年分だけでも約10,000件の脆弱性がCVSSスコアなしのまま残っており、同年のCVE全体のうちNISTが詳細分析できたのは約32%(14,000件)にとどまっている。
優先化の新基準
新方針では、NISTが詳細分析(エンリッチメント)を自動的に行う対象を以下の3カテゴリに絞り込む。
- CISAの既知悪用脆弱性(KEV)カタログ掲載済みのCVE:1営業日以内のエンリッチメントを目標とする
- 連邦政府が利用するソフトウェアに影響するCVE
- 大統領令14028が定める「重要ソフトウェア」(OS、ブラウザ、ネットワーク機器、バックアップシステム、ID管理プラットフォームなど)に関わるCVE
この3条件を満たさないCVEは「Not Scheduled(未予定)」ステータスに設定される。ただし、データベースからは削除されず、組織はnvd@nist.gov宛てにメールでエンリッチメントをリクエストできる。なお、2026年3月1日以前に未エンリッチのまま残っていたバックログは、優先基準を満たさない限りそのまま「Not Scheduled」に移行される。
プロセスの変更点
今回の方針変更ではスコアリング体制も変わる。NISTはこれまで独自の深刻度スコアを提供してきたが、CVE採番機関(CNA)がすでにスコアを付けているCVEについては、NISTが別途スコアを算出・公開しなくなる。また、修正された既存CVEの再分析は、変更内容がエンリッチメントデータに実質的な影響を与える場合に限定される。
業界への影響と背景
セキュリティ専門家の間では、この変更を「政府の単一データベースに頼れた時代の終わり」と表現する声も上がっている。背景には、AIを活用した脆弱性発見ツールの普及が研究者コミュニティに広まり、CVE申請数を押し上げているという構造的要因がある。
CVEプログラム自体も2025年には資金不足で崩壊寸前に陥るなど、MITREとDHSへの依存が脆弱性管理インフラの持続可能性に疑問を投げかけている。一方、欧州ではENISAがルートCNA(CVE採番の上位機関)の地位取得を目指しており、脆弱性情報の分散管理と欧州側の自立化に向けた動きが加速している。今回のNISTの方針転換は、組織がNVDの網羅性に依存した脆弱性管理から脱却し、リスクベースの優先付けを自ら行う必要があることを改めて示すものとなった。