### NIST、NVDの運用を更新 **NIST**は、提出数の爆発的な増加により、特定の条件を満たすCVEのみを**NVD**に掲載しエンリッチメントを行うと発表しました。同発表によると、これらの基準を満たさないCVEは引き続き掲載されますが、**NIST**による自動エンリッチメントの対象外となります。この決定は、2020年から2025年にかけてCVE提出数が263%急増したことを受けています。 ### 優先順位付けの基準 2026年4月15日から有効となる優先順位付けの基準は以下の通りです。 * 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の既知の悪用済み脆弱性（KEV）カタログに掲載されているCVE。 * 連邦政府内で使用されているソフトウェアのCVE。 * 大統領令14028で定義されるクリティカルソフトウェアのCVE。これには、特権昇格、ネットワークまたはコンピューティングリソースへの特権アクセス、データまたは運用技術の制御、通常の信頼境界外での運用が含まれます。 これらの基準を満たさないCVE提出は「スケジュール未定」とマークされ、**NIST**は影響度の高い脆弱性に注力できるようになります。 ### 変更の影響 **NIST**によると、2026年の最初の3か月間のCVE提出数は、すでに2025年に約42,000件のCVEをエンリッチメントし、前年比45%増となっているにもかかわらず、前年同期比で3分の1近く増加しています。ユーザーは、スケジュール未定と分類された影響度の高いCVEのエンリッチメントを希望する場合、"nvd@nist[.]gov"までメールでリクエストできます。 ### NVD運用の追加変更点 その他の変更点は以下の通りです。 * CVE番号割り当て機関（CNA）がすでに提供している場合、**NIST**は個別の深刻度スコアを通常提供しなくなります。 * 変更されたCVEは、エンリッチメントデータに実質的な影響がある場合にのみ再分析されます。再分析リクエストはメールで送信できます。 * バックログにある、2026年3月1日より前の公開日のエンリッチメントされていないCVEは、「スケジュール未定」カテゴリに移行されます（KEVカタログにあるものを除く）。 * **NIST**は、CVEステータスラベルと説明、および**NVDダッシュボード**を更新し、CVEステータスと統計情報をリアルタイムで正確に反映するようにしました。 ### 業界の反応 **VulnCheck**のセキュリティリサーチ担当バイスプレジデントである**Caitlin Condon**氏は、**NIST**が脆弱性数の増加の中で期待値を設定していると指摘しました。しかし、組織が**NIST**のデータのみに依存している場合、かなりの数の脆弱性が明確なエンリッチメントパスを欠く可能性があります。 **VulnCheck**のデータによると、2025年の約10,000件の脆弱性にはCVSSスコアがなく、**NIST**は約14,000件の「CVE-2025」脆弱性をエンリッチメントしており、これは2025年のCVE全体の約32%に相当します。 **Contrast Security**の最高情報セキュリティ責任者である**David Lindner**氏は、**NIST**の決定は、セキュリティリスク評価のために単一の政府データベースに依存する時代の終わりを告げるものだと示唆しています。組織は今、プロアクティブで脅威インテリジェンス主導のアプローチを採用する必要があります。 Lindner氏は、国家的なレジリエンスを高めるために、**CISA KEV**リストと悪用可能性メトリクスに焦点を当て、理論的な深刻度よりも実際の露出を優先することを推奨しています。