D
把握のみ
米国国家標準技術研究所(NIST)が運営する国家脆弱性データベース(NVD)において、未処理の脆弱性が2万7千件以上に達し、運営が麻痺状態にあること
📌 一言でいうと
米国国家標準技術研究所(NIST)が運営する国家脆弱性データベース(NVD)において、未処理の脆弱性が2万7千件以上に達し、運営が麻痺状態にあることが判明しました。外部契約業者の契約停止による人手不足が主因であり、分析作業の停滞によりデータの信頼性と活用価値が低下しています。脆弱性情報の登録遅延は、企業や組織が優先的に対応すべき脅威を判断することを困難にし、セキュリティリスクを高める懸念があります。
🔍該当判定
- NVD(米国国家脆弱性データベース)の情報を直接参照して、自社システムのアップデート優先順位を決めている
- 脆弱性管理ツール(脆弱性スキャナ)を導入しており、その判定基準としてNVDのデータを利用している
- CVE番号(CVE-202X-XXXX)をベースに、自社で利用しているソフトウェアの脆弱性調査を日常的に行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
NVDのみに依存せず、ベンダーが提供するセキュリティアドバイザリや、CISAのKnown Exploited Vulnerabilities (KEV) カタログなど、複数の情報ソースを併用して脆弱性管理を行うことを推奨します。