NISTが脆弱性情報について方針転換

04/15/2026に、NISTがCVE数の急増に伴い、ついに「脆弱性取り扱い方法をリスクベースのものに変更する」という発表を行いました。これにより、現時点でのCVE/CVSS/CWEなどによる脆弱性の取り扱いにも変化が生まれる可能性があります。

以下では、このNISTの発表とその背景について簡単にまとめています。

NISTの発表
NIST/NVDの状況
今後の脆弱性管理
参考情報
- 関連記事:

NISTの発表

NISTの発表によると、NISTはCVEの件数が2020年から2025年の間に263%増加し、さらに2026年の最初の3か月間の件数も前年と比べて30%以上増加している、という事態になっている様です（こちらは実数を後でグラフで示します）。

これを受けてNISTではNVD登録のための脆弱性情報調査の優先順位として、以下のCVE（共通脆弱性識別子）を優先的に評価することにしたそうです

CISA KEVに載っているCVE（CISA KEVの解説はこちら）
連邦政府内で使用されるソフトウェアのCVE
大統領令14028号で定義されている重要ソフトウェアのCVE

上記に含まれないCVEは「優先度最低 – 即時追加予定なし」に分類されるそうです。

NIST/NVDの状況

NISTのリソースの逼迫とCVSSアサインの現状

脆弱性管理を行なっている人たちには常識となっていますが、本来CVSSのアサインは

cve.orgでCVE-IDがアサインされる
連携されてNISTがcve.orgからCVE-IDを受け取り、脆弱性の内容を調査してからCVSSをアサインする

という順番でした。しかし、2024年4月ぐらいから、脆弱性にCVSS/CPEを付ける作業が間に合わず、CVEのステータスが「Awaiting Analysis（解析待ち）」になっているものが積み上がっている（やり残し: backlog）と報告が出されています。この理由としては「対応するべきソフトウェアの増加による脆弱性の増加、および省庁間のサポートの変更など、さまざまな要因に基づいている」とされており（どうやらAI側に人員が割かれた、という話も聞こえています）、外注と業務委託契約を行うなどして、解消に努めていました。

あわせて、こちらも脆弱性管理を行なっている人たちには常識になっていますが、2024年以降は実質的にはCNA(CVE Numbering Authority)がCVSSも脆弱性公開と同時に発表している状態になっています。例えば先日公開されたWordpressのGeo Mushup Pluginの脆弱性(CVE-2026-40070)は、CNAのWordefenceがCVSSをアサインしています。

CVE数の遷移

そもそも、2025年後半から「AI活用による脆弱性の発見」が広まったために、公開されるCVE数が鰻登りに増えています。

下記は2020年代から2026年4月までのCVE数（公開数）でRejectedを除いたもののグラフです。2026年3月に公開されたCVE数はRejectを除くと5990と、もうすぐ月辺り6,000件に到達する勢いになっています。CVEが公開されるのはGMTでの平日に多く公開される傾向があるため、一月を20日で計算すると、１日あたり300件が公開されている勘定になります。

解析待ち(Awaiting Analysis)・解析延期(Deferred)数の推移

以下では、解析待ちと積み残しのCVE数を見ていくために、Awaiting Analysis（解析待ち）数の推移とDeferred（解析延期）数の推移を見ていきます。

CVEが公開された時にステータスが「Awaiting Analysis（解析待ち）」になった、CVEの数。これにより、当日作業時の処理の逼迫がどれくらいかが見える
記事執筆時（2026/05/04）時点で「Deferred（解析延期）」が残っているCVEの数（これは延期・などの作業により、どれだけ解析が積み上がっているかが見える）

の２種類をお見せします。特に1.に関しては「毎日CVEの更新を取得している人」でないと存在しないデータなので（その日のデータなので今ではAPIで取得できない）、必見です。この「毎日CVEの更新を取得する」方法は、こちらの講座で説明しています。

1. CVE公開時の「Awaiting Analysis」になったCVE数

「Published Date（公開された日）」で月毎にAwaiting AnalysisになったCVE数を見ています。2023年まではAwaiting Analysis はほぼありませんでしたが（元々、解析待ちのステータスなのでショートタイムではけていた）、2024年2月から一気に増えて2024年5月にピークを迎えます。業務委託を行なって減らしていくきっかけになった辺りです。

　2025年以降は、平均して毎月1500件程度のキューが、CVEを公開した時点で「解析待ちにとりあえずしておく」とされたものです。これにより、毎日の作業がどれくらい忙しかったのかが推測できます。

2. 2026/05/04時点での「Deferred」数

「Published Date（公開された日）」で月毎にDeferred数を見ています。これにより、記事執筆時（2026/05/04）時点でどれだけのCVE数が「Deferred（解析延期）」にされたまま残っているのか、つまり作業の積み残し数がおおよそ計れます。

　下記のように、2024/01/01以降に公開されたCVEがDeferred（解析延期）として積み残しされている形になります。本来はこれらも逐次解消されていきますが、今回のNIST の優先順位付け変更が、これら「積み残しの解消」にも適用されていくと思われます。

今後の脆弱性管理

　今後はNIST NVDではCVSSのプライオリティが前述のものが優先される様になるため、「すべての脆弱性のCVSSが取り扱われる」ということは期待できなくなります。

　先述の通り、現在はCNAがCVSSの多くをアサインしている実情があるため、脆弱性管理をきっちりと行なっている方々はそれほど作業内容は変わらない（NIST NVDを待たずにCNAの情報を取得する）ことになると思います。

　長期的には、NIST NVDにとらわれずに脆弱性管理を回していく必要が出てきます。これに関しては、近年では「AIによる脆弱性スキャンの仕組みとパッチ管理」が出てきたため、CVEによる管理そのものの枠組み自体が見直される時期に来ているのではないかと考えています。また方向性等が見えてきたら紹介したいと思います。