チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「NVDの情報が揃わなくなるって、脆弱性管理どうなるの?」
「自社ソフトのCVEが“未検査”のまま放置されたら、判断できないのでは?」
チップスボス!
NISTがNVDの全件分析を諦めるって発表したでしゅ!
いままでNVDを頼りにしてた脆弱性管理、どうしたらいいでしゅか!?
ボスCVE登録件数が5年で263%も増えた。
NISTの人員では捌ききれなくなったということだ。
これからは「自社で優先度を決める」能力が問われる時代に入る。
米NISTは2026年4月15日、NVD(National Vulnerability Database)の全件分析を断念し、優先順位付けによるトリアージ運用へ移行すると発表しました。
CISAのKEVや連邦重要ソフトウェアを優先対象とし、その他のCVEは「未検査」として登録のみ行う方針です。
NVD依存の脆弱性管理がなぜ立ち行かなくなるのか、そしてどう備えるべきかを整理します。
NVDはCVEに詳細メタデータ(CVSS、CPE、CWEなど)を付与する世界標準データベースです。
NISTは2026年のCVE登録が年3万〜3.3万件規模に達すると予測し、現状の生産能力(最大4,500件/年)では全件処理が不可能と結論づけました。
そこで米国政府にとっての重要度でCVEをトリアージし、他はユーザー要求時のみ分析する運用に切り替えます。
優先基準は以下の通りです。
| 優先カテゴリ | 内容 |
|---|---|
| CISA KEV収録CVE | 実際に悪用されている脆弱性カタログ |
| 連邦政府使用SW | 米政府機関が稼働させるソフトウェア関連 |
| 大統領令14028対象SW | 重要インフラ向けソフトウェアサプライチェーン |
詳細な背景は@IT(ITmedia)の解説記事で確認できます。
チップスつまり日本でしか使われてないソフトのCVEは後回しってことでしゅか?
それじゃ困るでしゅ…。
ボスその通りだ。
国産CMSや日本向けSaaSの脆弱性情報は、NVDを待っていても詳細がこない可能性がある。
JVNやベンダー直接の情報源を自分で掴みに行く姿勢が必要になる。
NVDに依存したスコアリング前提の脆弱性管理は、遅かれ早かれ行き詰まります。
重要なのは、外部スコアだけに頼らずEPSS(悪用確率)や自社環境の資産情報を掛け合わせて優先度を判断することです。
特にCISA KEVは「現に悪用されている脆弱性」のリストなので、NVD未検査でも最優先で対応が必要になります。
同時に日本固有の情報源にも目を向けてください。
NVD未検査のCVEが増えるほど、「分析されていないが危険」な脆弱性も混ざります。
自社環境に影響するかをSBOMで即特定できる体制づくりが、今後の差になります。
チップスSBOM、名前は聞いたことあるけどまだちゃんと整備できてないでしゅ…。
早めに動いた方がよさそうでしゅね。
ボスNVDが完全に頼れる時代は終わった。
自社で判断できる体制を持つ企業だけが、脆弱性の波に乗り遅れなくなる。
今が準備の始め時だ。
NISTの方針転換は、脆弱性情報の「全件処理時代」の終焉を意味します。
KEV・EPSS・JVN・SBOMを組み合わせた独自トリアージが、これからの脆弱性管理の標準です。
外部情報の中央集権から、自社判断を前提にした分散管理へ、今すぐシフトを始めてください。
