🔥 この記事の詳細
2026-05-15 更新
D
把握のみ

NISTのNVD(国家脆弱性データベース)において、2026年4月15日より脆弱性の分析・スコアリング方針が変更されます

脆弱性🌐 英語ソース
📅 2026-05-15📰 recordedfuture
📌 一言でいうと
NISTのNVD(国家脆弱性データベース)において、2026年4月15日より脆弱性の分析・スコアリング方針が変更されます。今後はCISAの既知の悪用済み脆弱性カタログや政府関連ソフトウェアなど、優先度の高いCVEのみが分析対象となり、それ以外は「最低優先度」としてCVSSスコア等が提供されません。これにより、NVDのスコアに依存した脆弱性管理フローを持つ組織は、運用上のギャップが生じる可能性があります。
🔍該当判定
  • 脆弱性管理に『NVD(米国国立標準技術研究所のデータベース)』のCVSSスコアを唯一の判断基準として利用している
  • 社内で利用しているソフトウェアの脆弱性情報を、NVDの自動更新機能やAPIを用いて収集・管理している
  • 脆弱性検知ツール(スキャナー)を導入しており、その判定根拠がNVDのデータに依存している
上記いずれにも該当しない → 静観でOK
該当時の対応
NVD以外の脆弱性情報ソース(ベンダーアドバイザリ、商用脅威インテリジェンス、攻撃者の行動分析データなど)を導入し、スコア依存からリスクベースの管理へ移行することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】NIST NVDの脆弱性分析方針変更に伴う影響について

お疲れさまです。NIST NVDの分析方針変更に関する情報共有です。

■ 概要
2026年4月15日より、NISTはNVDにおけるCVEの分析(CVSSスコア付与や製品マッピング)を、CISA KEV等の優先カテゴリーに限定します。優先外のCVEは「Lowest Priority」となり、NVD側でスコアが提供されなくなります。

■ 影響範囲
- NVDのCVSSスコアを脆弱性管理の判断基準としている全ての運用フロー

■ 対応手順
1. 現在の脆弱性管理ワークフローにおいて、NVDスコアへの依存度を確認する
2. NVD以外の代替ソース(ベンダー公式情報や脅威インテリジェンス)の確保を検討する
3. 単なるスコアベースではなく、攻撃者の活動状況(Exploitの有無等)に基づいた優先順位付けへの移行を検討する

■ 参考情報
- NIST NVD Enrichment Policy Change

対応優先度: 中
対応期限: 2026年4月14日まで
Subject: [Info] Impact of NIST NVD Vulnerability Enrichment Policy Change

Hi all,

This is to inform you about the upcoming changes to the NIST National Vulnerability Database (NVD) enrichment process.

■ Overview
Starting April 15, 2026, NIST will only enrich CVEs that fall into specific priority categories (e.g., CISA KEV, federal government software). CVEs outside these categories will be designated as 'Lowest Priority' and will not receive CVSS scores or affected product mappings from NIST.

■ Impact
- Vulnerability management workflows that rely exclusively on NVD for CVSS scoring and prioritization.

■ Recommended Actions
1. Audit current vulnerability management processes to identify reliance on NVD scores.
2. Diversify vulnerability intelligence sources (e.g., vendor advisories, commercial threat intel).
3. Shift toward a risk-based approach focusing on attacker behavior and exploitability rather than static CVSS scores.

■ Reference
- NIST NVD Enrichment Policy Change

Priority: Medium
Deadline: Before April 15, 2026
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-15 のまとめ🔍 記事を検索