**NIST**は今週、共通脆弱性識別子（CVE）の提出数が圧倒的に増加しているため、脆弱性分析の取り組みを縮小すると発表しました。4月15日より、**国立脆弱性データベース（NVD）**は、特定の基準を満たす脆弱性についてのみ、深刻度評価を含む詳細な分析を提供します。 ### 優先順位付けの基準 **NIST**は今後、以下の脆弱性にリソースを集中します。 * **CISA**の既知の悪用済み脆弱性（KEV）カタログに記載されているもの。 * 米国連邦政府のソフトウェアに影響を与えるもの。 * 大統領令14028で定義される重要ソフトウェアに関連するもの。 ### 提出数の急増 **NIST**はこの変更をCVE提出数の劇的な増加に起因すると説明しています。同機関は提出数が263%増加したと報告しており、この傾向は続くと予想されています。2025年には、**NIST**は約42,000件のCVEを拡充しましたが、同機関はすべての提出に対してこのレベルの分析を維持することはもはやできないと述べています。 ### NVDへの影響 **NVD**は、提出されたすべての脆弱性を引き続きリストします。ただし、優先順位付けの基準を満たさない脆弱性については、最初に脆弱性を評価・提出したCVE番号付与機関（CNA）によって割り当てられた深刻度評価のみが提供されます。CNAには、**The MITRE Corporation**のようなベンダーや組織が含まれます。 ### なぜこれが重要なのか **NIST NVD**は、セキュリティ研究者、ITプロフェッショナル、および世界中の組織にとって重要なリソースです。深刻度スコア、影響を受ける製品、アドバイザリやパッチへのリンクなど、脆弱性に関する詳細情報を提供します。この情報は、効果的なリスク管理と脆弱性修正に不可欠です。 ### 「スケジュール未定」ステータス 新しい基準を満たさない脆弱性は、「スケジュール未定」として分類されます。**NIST**は、これはこれらの脆弱性が重要でないという意味ではなく、優先カテゴリにあるものと同じレベルのシステムリスクをもたらさないことを意味すると強調しています。 「提出されたすべてのCVEは引き続きNVDに追加されます。ただし、上記の基準を満たさないものは「スケジュール未定」として分類されます」と、[NISTは説明しています](https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth)。 ### 拡充リクエスト 一部の影響力の大きい脆弱性が優先順位付けプロセスから漏れる可能性があることを認識し、**NIST**は電子メール（‘[email protected]’）を通じて、優先度の低いCVEに対する拡充リクエストを受け付けています。 ### フォーカスのシフト 2024年以降、拡充の遅延が観察されていましたが、今回の発表は、**NIST**が最も重要で広範な影響を与える脆弱性へのフォーカスをシフトすることを正式化したものです。