CVE管理体制が大幅転換？　IT部門担当者がやるべきことはこれだ：米政権に翻弄されるCVEプログラム

米国立標準技術研究所が、脆弱性情報の更新方針を一部変更すると発表した。さらに、脆弱性識別子を管理する新たな組織が発足した。この混乱にIT部門担当者はどう臨めばいいのか。

≫ 2025年05月20日 06時00分公開

脆弱性情報の管理に混乱が発生　その理由は？

併せて読みたいお薦め記事

あの大規模インシデントをおさらい

　NISTによると、2018年1月1日以前に公開されたCVEについてNVD上で「Deferred」（保留）というステータスを付与する。このステータスのCVEは、詳細な情報補足や初期登録情報を更新する優先度が下がる。

　この決定の背景には、CVE登録数の急増に伴う処理遅延がある。NISTによると、2024年のCVE申請件数が2023年比で32％増加した結果、従来のやり方では処理が追い付かなくなっており、未処理のCVEが増えている。NISTは「人工知能」（AI）をはじめとする新技術を活用し、CVE処理を効率化させる方法を探っている。

　既存のCVEのメタデータを更新するためのリクエストは引き続き受け付ける。データの更新が必要と判断した場合は時間とリソースが許す限り、更新作業を実施するという。米国のサイバーセキュリティ政策を主導する、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）が公開する、既知の悪用された脆弱性カタログ「KEV」（Known Exploited Vulnerability catalogue）に掲載されたCVEについては、公開年にかかわらず更新作業を優先して実施する方針だ。

米連邦政府の人員削減と新たな組織の出現

　NISTの決定には、米連邦政府の組織改革と人員削減の動きが影響を及ぼしている。米国の行政効率化を推進する、米連邦政府効率化省「DOGE」（Department of Government Efficiency）は、米連邦政府職員の大規模な人員削減を進めており、NISTの上位組織である米国商務省では約2割の職員を削減する計画があるという報道もある。

　英Computer Weeklyの関連メディア「Cybersecurity Dive」によると、DOGEの指示によって、CISAは少なくとも170人の職員を失ったとされている。

　NISTとは別に、CVEの管理と運用を推進する新たな組織も出現している。2025年4月16日（現地時間）、非営利団体CVE Foundationの設立が発表された。設立の背景には、CVEの管理や運用を担ってきた米国の非営利組織MITREの動向がある。MITREは米連邦政府の資金によって運営され、1999年に設立されてから25年にわたってCVEプログラムを推進してきた。しかし2025年4月15日、米連邦政府はMITREへの資金提供の停止を発表した。

　CVE Foundationによると、同団体は以前からMITREの中立性や存続可能性に懸念を持っていた。今回の資金提供の停止を受けて、CVEプログラムの長期的な存続や安定性、独立性を確保するためにCVE Foundationを設立したとしている。

　CVEプログラムの見通しが不透明な中、IT部門やセキュリティの管理者はどのように対処すればよいのか。ソフトウェアベンダーBlack Duck Softwareでソフトウェアサプライチェーンリスク管理を担当するティム・マッキー氏は次のように説明する。「過去のCVE、特に著名な脆弱性に関連するものが更新対象から外れることに懸念を抱く人もいると考えられるが、更新頻度が低いだけでCVEがなくなったわけではない」。同氏は、Deferredとされた脆弱性を修正、回避できていない組織は、パッチ（修正プログラム）の管理やDevOps（開発と運用の融合）を通じたセキュリティプログラムが機能していない恐れがあると指摘する。続けて「NISTの決定を、ソフトウェアの棚卸しやDeferredとされた脆弱性を再評価するためのきっかけにすべきだ」と提案する。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

TechTargetジャパントップセキュリティ