脆弱性情報の国際標準データベースであるNVD(National Vulnerability
Database)の運用が、2026年4月に大きく変わりました。
NISTは共通脆弱性識別子であるCVE(Common Vulnerabilities and Exposures)[i]登録件数の急増を受け、すべての脆弱性に均一にCVSSスコアや製品を一意に特定するためのCPE(Common Platform Enumeration)[ii]を付与する従来の方式を見直し、優先度を設けて、詳細情報を付与する方式へ移行することを発表しました。
この変更は、製品のセキュリティ対応を担うPSIRTの脆弱性管理業務に直接的な影響をもたらします。NVDのデータのみを前提とした自動トリアージや影響判定が機能しなくなるケースが生じ、EU Cyber Resilience Act(CRA)のような報告期限を伴う規制対応にも支障が出かねません。
本記事では、この変更がPSIRTに与える影響と、取るべき対策を解説します。
NIST(National Institute of Standards and Technology)は2026年4月、急増するCVE登録件数への対応として、すべての脆弱性に均一に詳細情報(CVSSスコア、ベクトル、CPE等)を付与する方式から、優先度に基づいて詳細情報の付与対象を絞り込む方式へと移行することを発表しました。[iii]
NVDでのCVEの年間登録件数は2016年の約6,500件に対して、2017年は18,100件と2017年以降、増加しております。特に近年の登録件数として2024年には約40,800件、2025年には約49,900件に達しており、2020年比で約260%増と、急増しております。[iv]
これらの登録件数の急増に対応するため、NISTはリソースを重要度の高い脆弱性に集中させることを選択したと考えられます。
NISTが「優先度高」として詳細情報(CVSSスコア・CPE付与)の付与対象とする脆弱性は、以下の3カテゴリです。
これらに該当しない脆弱性は「優先度最低」として登録はされるものの、CVSSスコアやCPEが付与されないまま更新されない可能性があります。変更内容のイメージは以下の通りです。
NVDを主要な情報源として脆弱性管理を行っているPSIRTにとって、この変更は以下の一般的なPSIRT運用サイクル(FIRST PSIRT Services Framework 「PSIRT Services Framework Service Area2~ Service Area5」[v]より弊社作成)のうち、「STEP1収集」と「STEP2トリアージ」に直接影響すると考えます。
影響A:製品への該当判断ができない
CPEが付与されない場合、脆弱性(CVE)と製品(CPE)の紐付けが行えなくなります。自社製品が脆弱性の影響を受けるかどうかの自動判定が機能しなくなり、手動での確認コストが増大します。
影響B:リスク評価ができない・遅延する
脆弱性の基本評価基準(攻撃元区分、攻撃条件の複雑さ、攻撃に必要な特権レベル等)の情報がNVDを用いても取得できず、定量的なリスクモデリングや機械的なトリアージが困難になります。そのため、深刻度に基づいた機械的な優先度付けができず、対応優先度の決定が遅れたり、対応コストが増加する可能性があります。
特に、EU Cyber Resilience Act(CRA)などの特定の法規にて短期間での報告が義務付けられる規制環境では、NVDの基本評価基準に依存した脆弱性収集・トリアージを行っている場合、脆弱性と製品の紐づけができないことや、脆弱性の基本評価基準等の情報が揃わないことで問題のある脆弱性を検知できず、対応が遅延するリスクが生じます。
NVDは依然として有用な情報源ですが、単一ソースに依存するのではなく、複数の情報源を統合したリスク評価プロセスへ移行することで、特定機関に依存しない安定した脆弱性管理を実現する必要があります。
情報源の候補として、以下のような複数のソース活用を推奨します。
具体的な例としてはNVDを用いて製品紐づけや情報の取得だけでなく、EUVDやKEV等の複数データソースを用いて脆弱性と貴社製品の紐づけを実施し、各脆弱性の情報についても複数のデータソースから取得することを推奨します。
単一のデータソースでは、地域・製品分野による掲載漏れや評価の反映遅れが必ず生じるため、EUVD・JVN・NVD等を重ねることで対象製品に関係する脆弱性を網羅的かつ早期に拾えます。
さらに、収集した大量の脆弱性に対しCISA KEV(悪用の実績)とEPSS(悪用可能性の予測)という別軸の指標を組み合わせることで、限られたリソースの中で本当に優先すべき脆弱性を見極めらることが可能と考えます。
NISTによるNVD運用変更は、多くのPSIRTが暗黙のうちに置いてきた『NVDの情報は常に更新されている』という前提を崩すものです。特にCRAをはじめとする規制対応が求められる環境では、この変化は脆弱性対応サイクル全体の遅延・品質低下につながりかねません。
単一情報源への依存を脱し、複数のデータソースを組み合わせた堅牢な脆弱性収集・トリアージ体制を早期に整備することが、今PSIRTに求められています。
弊社、NRIセキュアでは、複数の情報源から脆弱性情報を自動収集し、自社製品への影響を分析するデバイス脆弱性監視分析サービスを提供しています。PSIRT運用サイクル(収集→トリアージの一部)を弊社コンサルタントがサポートし、継続的な脆弱性管理を支援します。
詳細はお問い合わせください。
https://www.nri-secure.co.jp/service/consulting/device-vulnerability-analysis
参考
[i]共通脆弱性識別子CVE概説
https://www.ipa.go.jp/security/vuln/scap/cve.html
[ii]共通プラットフォーム一覧CPE概説
https://www.ipa.go.jp/security/vuln/scap/cpe.html
[iii]NISTによるNVDの運用変更:
https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth
[iv]NVD年次CVE統計:
https://nvd.nist.gov/vuln/search#/nvd/home?resultType=statistics
[v]FIRST PSIRT Organizational Structure:
https://www.first.org/standards/frameworks/psirts/psirt_services_framework_v1.1
[vi]デバイス脆弱性監視分析サービス
https://www.nri-secure.co.jp/service/consulting/device-vulnerability-analysis