## NIST、脆弱性追跡システムへの変更を発表 **NIST**は、サイバーセキュリティ脆弱性の追跡方法に大きな変更を加えることを発表しました。これは、バグ報告の数が持続不可能な速度で増加していることを認識したためです。この変更は、広く利用されている**NVD**内での脆弱性の分類と強化の方法に影響を与えます。 同機関は今後、特定の基準を満たす脆弱性にリソースを集中させることになります。これは、すべての**CVE**（共通脆弱性識別子）を分類するという以前の使命からの転換となります。この決定は、同機関が増加する報告書の量に追いつくのに苦労している中で下されました。**NIST**が発表した声明によると、2026年の最初の3ヶ月間の報告数は、2025年にCVEの強化が45%増加したにもかかわらず、前年同期比で3分の1近く増加しています。 ## 優先順位付けの基準 新しい方針の下で、**NIST**は特定のしきい値を満たす**CVE**レコードのみを強化します。具体的には、以下の脆弱性の強化が優先されます。 * **サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）**の既知の悪用済み脆弱性カタログに記載されている**CVE**。 * 連邦政府が使用する製品に影響を与える**CVE**。 * 「クリティカル」と見なされるソフトウェアに影響を与える**CVE**。 **NIST**は、**CISA**カタログの脆弱性を通知後1日以内に強化することを目指しています。これらの基準を満たさない**CVE**は引き続きリストに掲載されますが、**NIST**による追加分析や深刻度スコアリングは行われません。 ## バックログの問題 **NIST**は、リソースの制約により処理できなかった**CVE**の既存のバックログを認めています。2026年3月1日より前のこれらのバックログエントリは、「スケジュール未定」カテゴリに移動され、新しい基準を満たした場合にのみ優先順位が付けられます。 **NIST**はまた、すべての**CVE**に対して独自のスコアを生成するのではなく、提出者によって提供される深刻度スコアにより大きく依存するようになります。この変更が「潜在的に影響の大きい**CVE**をすべて捕捉するわけではないかもしれない」ことを認めつつも、**NIST**はこのデータベースの持続可能性と信頼性を確保するために、このリスクベースのアプローチが必要であると主張しています。 ## 業界の反応 **Bugcrowd**のTrey Ford氏のような専門家は、**NIST**の変更は、この規模での脆弱性トリアージを一元化することが持続不可能であるという、研究コミュニティ内でのより広範な理解を反映していると示唆しています。Ford氏は、人間の研究者によって決定される実際の悪用可能性が、修正の優先順位の真の推進力であると強調しました。 <a href="https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record" rel="noopener noreferrer">詳細はこちら。</a> [](https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad)