NIST NVDがCVE全件エンリッチメントを断念、優先トリアージ制へ移行

NISTが2026年4月15日、National Vulnerability Database（NVD）の運用方針を大きく転換すると発表した。
これまで提出されたすべてのCVEに対してメタデータを付与する「エンリッチメント」を行ってきたが、今後はCISA KEVカタログ掲載・連邦政府利用ソフト・重要ソフトの3カテゴリに限定する。

21人のNVDスタッフで指数関数的に増加するCVE提出量をさばき切れなくなった、というのが直接の理由だ。

NVDエンリッチメントとは

CVE（Common Vulnerabilities and Exposures）は脆弱性の識別番号だが、番号が振られただけでは情報が足りない。
NVDのエンリッチメントは、各CVEに以下のメタデータを付与する作業を指す。

メタデータ	内容
CVSSスコア	脆弱性の深刻度を0.0〜10.0で数値化（パッチ優先度の主要指標）
CWE	脆弱性の種類分類（バッファオーバーフロー、SQLインジェクション等）
CPE	影響を受ける製品・バージョンの識別子（スキャナーの自動マッチングに使用）
説明文	脆弱性の概要

企業のパッチ管理ツールやスキャナーの多くはNVDのCVSSスコアやCPEマッチングに依存している。
エンリッチメントがないCVEは番号だけ存在する「中身のない箱」で、自動的なリスク評価や影響範囲の特定ができない。

新しい優先度基準

NISTが発表した新しいエンリッチメント基準は以下の3カテゴリに絞られた。

flowchart TD
    A[CVEが提出される] --> B{優先度判定}
    B -->|CISA KEVカタログに掲載| C[1日以内にエンリッチメント]
    B -->|連邦政府利用ソフトウェア| D[エンリッチメント実施]
    B -->|EO 14028 重要ソフトウェア| E[エンリッチメント実施]
    B -->|上記以外| F[NVDに掲載のみ<br/>エンリッチメントなし]
    G[2026年3月1日以前の<br/>未処理CVE] --> H[Not Scheduledに移動]

CISA KEVカタログ掲載のCVE。実攻撃での悪用が確認済みのもので、1日以内にエンリッチメントされる
連邦政府が使用するソフトウェア製品のCVE
Executive Order 14028で「重要」と定義されたソフトウェアのCVE

CISA KEV（Known Exploited Vulnerabilities）カタログは、実際の攻撃で悪用が確認された脆弱性のリスト。
連邦機関にパッチ適用を義務付ける根拠になっている。
Executive Order 14028は2021年にバイデン政権が発令したサイバーセキュリティ強化の大統領令で、連邦政府が利用するソフトウェアのサプライチェーンセキュリティ基準を定めたもの。

上記3カテゴリに該当しないCVEはNVDに掲載はされるが、NISTによるエンリッチメントは行われない。
提出者が付与したスコアや説明がそのまま残る形になる。

さらに、2026年3月1日以前に提出されて未処理のまま残っていたCVEは「Not Scheduled」カテゴリに一括移動された。
NIST自身が「すべての高影響CVEを捕捉できない可能性がある（may not catch every potentially high-impact CVE）」と認めている。

なぜこうなったのか

21人 vs 指数関数的な提出増

NVDのスタッフは21人。この人数は何年も増員されていない。

時期	状況
2024年	スタッフ削減と予算カットで、提出CVEの90%がエンリッチメントされない危機的状態に陥った
2025年	バックログ解消を約束し、42,000件をエンリッチメント（過去最高、前年比45%増）
2026年Q1	提出数がQ1 2025比で約33%増加。過去最高の処理ペースでも追いつかない

2025年に記録的な処理量を達成しても、それを上回るペースで提出が増え続けている。

AI駆動の脆弱性発見ツールによる洪水

AIによるコードレビューツールが脆弱性発見を民主化した結果、軽微なバグも含めて大量のCVEが提出されるようになった。
人間のリサーチャーなら報告しないレベルの問題もツールが機械的に検出・提出するため、NVDに流入するCVEの量が急増している。
さらに、人間の介入なしに脆弱性を発見・悪用できる自律型システムの出現も懸念されている。

BugcrowdのTrey Fordはこう指摘する。

修正の優先度を実際に決めてきたのは、データベースのメタデータではなく現実世界での悪用可能性だ。それには、本番環境に対して継続的に攻撃者の視点で検証する人間のリサーチャーが必要になる。

CVEエコシステム全体の動揺

NVDの方針転換は単独の出来事ではない。
2025年以降、CVEプログラムを支えるインフラ全体が揺らいでいる。

2025年4月: MITRE CVE契約失効危機

2025年4月15日、MITREの副社長Yosry Barsaumが「CVEプログラムの運営契約が翌日に失効する」と警告する書簡を公開した。
CVEプログラムは25年間、MITREが米国政府の資金で運営してきたもので、世界中のサイバーセキュリティの基盤になっている。

背景には、DOGE（Department of Government Efficiency、政府効率化省）による連邦契約の大量打ち切りがあった。
2025年1月末〜3月にかけて、MITREとの11件の連邦契約（計2,850万ドル）が打ち切られ、442人のレイオフが発表された。
CVE契約そのものはCISA（DHS傘下）との別契約だったが、CISA自体も予算・人員削減に直面しており、更新の見通しが不透明になっていた。

結局、CISAが契約のオプション期間を行使して11か月延長を決定。
延長後の失効日は2026年3月16日で、その後の更新については公開情報がない。

CVE Foundationの設立

契約失効危機の翌日、2025年4月16日にCVE Foundationが設立を発表した。
CVE Boardの長年のメンバーが中心となり、米国政府の単一資金源への依存からの脱却を目指す非営利組織だ。
民間企業と4つの非米国政府が支援を表明し、2025年12月の本格稼働を目標としていた。

ただし、元CISA長官のJen Easterlyは「CVE Boardメンバーが現行プログラムの運営委員会に在籍しながら秘密裏に別組織を構築していた」として利益相反を批判している。

EU GCVE

2025年4月の危機を受けて、EUが独自の「Global CVE Allocation System（GCVE）」を開発し、2026年1月に一般公開した。
ドイツBSI、フランスANSSIなどが参加する分散型の脆弱性識別番号割当モデルで、米国一極集中からの脱却を狙っている。

タイムライン

時期	出来事
2024年	NVD危機: 提出CVEの90%が未処理
2025年1〜3月	DOGEがMITREの連邦契約11件を打ち切り
2025年4月15日	MITRE CVE契約失効を警告
2025年4月15日（夜）	CISAが11か月延長を決定
2025年4月16日	CVE Foundation設立を発表
2025年	NVDが42,000件エンリッチメント（過去最高）
2026年1月	EU GCVEが一般公開
2026年3月16日	CISA-MITRE延長契約の失効日
2026年4月15日	NIST、NVDの優先トリアージ制を発表

実務への影響

パッチ管理にNVDのCVSSスコアを使っている組織は、エンリッチメントされないCVEが増えることで盲点が生じる。

CISA KEV・連邦ソフト・EO 14028重要ソフト以外のCVEは、提出者の自己申告スコアのみになる
2026年3月1日以前の未処理CVEは「Not Scheduled」に移動済み
エンリッチメントが必要な場合はNISTにメールで個別要求が可能だが、対応は保証されない

NVD一本に依存するリスクが顕在化した形で、複数の脆弱性情報源を組み合わせる運用が必要になる。
CISA KEVカタログ、ベンダー独自のアドバイザリ、OSV（Open Source Vulnerabilities）、GitHub Security Advisoriesなど、用途に応じたソースの使い分けが求められる。

以下は脆弱性情報の主要ソースとその特徴の比較。

ソース	カバー範囲	特徴
NIST NVD（従来）	全CVE	CVSSスコア・CPE付与。今後は3カテゴリのみ
CISA KEV	実悪用確認済みのみ	連邦機関にパッチ義務。最も信頼性の高い「今すぐ対応」リスト
OSV	OSS脆弱性	エコシステム別（npm, PyPI等）のマッピングが充実
GitHub Security Advisories	GitHub上のOSS	Dependabotと連携した自動検知
ベンダーアドバイザリ	自社製品のみ	最速の一次情報。CPE等の標準識別子がない場合も
EU GCVE	割当開始段階	分散型番号割当。エンリッチメントは各GNA（GCVE Numbering Authority）依存

CISA-MITREの延長契約は2026年3月16日に切れていて、更新についての公開情報はまだない。