C
月内に
米国国立標準技術研究所(NIST)は、脆弱性の報告数急増に伴う負荷軽減のため、優先度の低い脆弱性への深刻度スコア割り当てを停止します
📌 一言でいうと
米国国立標準技術研究所(NIST)は、脆弱性の報告数急増に伴う負荷軽減のため、優先度の低い脆弱性への深刻度スコア割り当てを停止します。今後は、CISAの既知の悪用済み脆弱性(KEV)カタログに含まれるものや、米政府ソフトウェア、重要ソフトウェアに関連するもののみが詳細分析の対象となります。低優先度の脆弱性は引き続きNVDに掲載されますが、深刻度評価はCVE番号管理機関(CNA)によるもののみとなります。
🏢影響範囲
脆弱性管理プロセスに依存している世界中のセキュリティアナリスト、組織、およびソフトウェアベンダー
✅該当時の対応
NVDのスコアのみに依存せず、CVE番号管理機関(CNA)が提供する元の評価や、CISA KEVカタログなどの代替ソースを併用して脆弱性の優先順位付けを行うことを推奨します。