NIST、NVDにおけるバックログや遅延の処理について米商務省OIGの監査を受けることに

NIST、NVDにおけるバックログや遅延の処理について米商務省OIGの監査を受けることに

Socket – May 27, 2025

脆弱性データベースNVDの停滞やバックログをめぐる懸念が高まりを見せ続ける中、米国商務省の監察総監室（OIG）は、米国国立標準技術研究所（NIST）によるNVDの管理状況についての監査を開始したという。

2025年5月20日付のNIST首脳部宛の覚書のなかで、OIGはNISTの「NVDへの（脆弱性の）提出量を管理するための持続可能なプロセス」の有効性を評価することを目的とした監査を開始すると発表。NVDのデータバックログを削減するための戦略や、将来の遅延を防止するための戦略がどれほど有効に機能しているかなどが評価されることになると伝えた。

2023年後半に資金面での困難が直撃して以来、NVDは脆弱性データのエンリッチメントや公開が遅れたり不十分になったりする問題を抱え続けている。CVSSスコアやCPEタグなどのメタデータ無しで公開されるCVEの数が増加するなどの問題により、タイムリーでリッチな脆弱性データを必要とする民間・公共両部門のサイバーセキュリティオペレーションに影響が生じていることは度々話題になってきた。

また、NVDの主要な利用者であるCISAもこの問題による影響を受けている。CISAは長らく、アラートやアドバイザリ、KEVカタログなどを提供するため、NVDから得られるタイムリーかつエンリッチ済みのCVEメタデータに頼っていた。しかしNVD上で「Deffered（遅延/保留）」と記載されるCVEの数が10万件近くなってきたことから、CISAは単一のソースとしてNVDに依存するのをやめ、独自に脆弱性データを公開・エンリッチメントするようになっている。

一方で、CISAをめぐっても、6つの主要部門のうち3部門の責任者と、財務、戦略、インフラのトップが5月末までに退任予定であることや、予算を17％削減するよう議会共和党から求められていることなどが報じられている。またCVE自体も、トランプ政権下での運営資金確保の問題からその存続が危ぶまれるようになってきた。CVEエコシステムが分裂の兆しを見せ始める中、CISAのリソース縮小により、米国政府のリアルタイムで脅威を検知し、優先順位を付け、対応する能力に関する深刻な懸念が生じているという。

そんな中で実施される今回の監査。どのような監査結果が出るのかや、またNISTがどれほど早く有意義なプロセスを提示できるかといった点は、NISTが今後も脆弱性インテリジェンスの中枢であり続けるのか、もしくはこの役割が別の場所で担われるようになるのかなどを左右することになりそうだ。

【無料配布中！】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価