過去20年間、NVD(National Vulnerability Database)は、脆弱性管理の事実上の基盤としての役割を果たしてきました。スキャナー、SIEM、パッチ管理ツール、コンプライアンス・フレームワークなどはすべて、NVDにCVEが掲載されれば、NISTのアナリストが速やかに深刻度スコア、製品バージョンの対応表、および生のCVE IDを実際に有用なものにする文脈的なメタデータを追加するという前提に基づいていました。
2026年4月15日、その前提は公式に信頼性を失った。
NISTは、NVDがリスクベースのエンリッチメントモデルに移行することを発表しました。 データベースに新規登録されるCVEのほとんどは、デフォルトではNISTによるCVSSスコアの付与、CPE製品マッピング、および独立した分析の対象外となる。脆弱性対応ワークフローをNVDの補足データに依存している組織にとって、これは現実的かつ深刻化するカバレッジの問題を引き起こす。そのデータをツールに組み込んでいるセキュリティ製品の開発者やベンダーにとっては、さらに切実な疑問が生じる。すなわち、「現在、フィードから得られる情報は一体何なのか?」という疑問である。
NVDは、報告される脆弱性への対応が追いつかない状況にある
NIST自身の発表によると、CVEへの報告件数は2020年から2025年の間に263%増加し、2026年第1四半期の報告件数は、前年同期比ですでに3分の1近く増加している。
NISTは2025年に約4万2,000件のCVE情報を充実させ、これは過去どの年よりも45%増加した数値である。しかし、この生産性の向上は増加し続ける報告件数に対応するには不十分であり、その結果、正式なトリアージ制度が導入された。
2026年4月15日より、NISTは、CISAのKVE(既知の悪用済み脆弱性)カタログに掲載されている脆弱性、連邦政府が使用するソフトウェア、または大統領令14028号に基づき重要と指定されたソフトウェアに関連する脆弱性のみを詳細化します。それ以外の脆弱性はNVDに掲載されますが、NISTによる詳細化は行われず、直ちに処理されることはありません。
その結果、2026年3月1日より前に公開された約30万件の未処理CVEが、一括して「未予定」カテゴリに移行されました。
今後、NISTの優先度基準に該当しないCVEについては、深刻度スコアは、NISTによる独立した分析ではなく、CVE番号付与機関(多くの場合、影響を受けるソフトウェアのベンダー)が自己申告した値に基づいて決定されることになります。また、CVE番号付与機関がすでに深刻度スコアを提供している場合、NISTはその再計算を行わなくなります。
主要な脆弱性スキャナー、SIEMの相関ルール、サードパーティのリスクスコア、そしてPCI DSSからFedRAMPに至るまでのあらゆる規制コンプライアンスの枠組みは、すべてNVDのエンリッチメント・パイプラインに依存しています。
今回のアップデートにより、そのプロセスは正式に縮小されたため、潜在的に危険なCVEが危険なものとして分類されなかったり、適時に発見されなかったりする事態が生じかねない。
さらに理解しておくべき加速要因があります。それは、脅威の検知能力の低下が、AIを活用した脅威発見技術の急速な普及と相まって、事態を加速させているという点です。
高度なAIモデルやコーディングツールにより、アプリケーション内の悪用可能な脆弱性や複雑な攻撃経路を特定するためのハードルが大幅に下がり、CVEの公開件数が急増しています。2026年2月、インシデント対応・セキュリティチームフォーラム(FIRST)は、2026年に過去最多となる5万件のCVEが新たに報告されると予測しました。現在の情報補完インフラでは、これまでの品質水準を維持したまま、この膨大な量を処理することは困難です。
NVDのみに基づいて構築された製品に問題がある理由
A 生のCVEレコードには通常、ID、説明、および参照情報が含まれます。 脆弱性管理の自動化を支えるメタデータは、従来、NVDのアナリストによって 提供されてきました。このデータには、独立した機関によって検証されたCVSS深刻度 スコア、CPE製品マッピング、およびCWE脆弱性分類が含まれます。
しかし、 「エンリッチメント」こそが、CVEを実用的なものにする要素です。それがなければ、 それに依存するワークフローは、予測可能な形で機能低下を来します。
CVSSに基づく優先順位付けの有効性が低下している
スキャナーやパッチ適用ツールがNVDが提供する深刻度スコアを期待しているにもかかわらず、それが見つからない場合、その脆弱性は「深刻度不明」として扱われたり、SLAに基づくパッチ適用ポリシーの対象外となったり、優先順位が下げられたりする可能性があります。
NISTの2026年4月の更新情報により、以下のことが確認されました:
- 新しい優先基準に該当しないCVEには、自動的に独立した評価は行われません
- CNAがすでにCVSSスコアを提供している場合、NISTは独自のCVSSスコアを生成しなくなります(そのCNAが影響を受けるソフトウェアのベンダーである場合でも同様です)。
CPEマッピングが不十分または欠落していると、CVEの検出精度が低下する
NVDの公式ドキュメントでは、製品識別はエンリッチメントの重要な要素であると説明されています。これは、ユーザーがプログラムを通じて、既知の脆弱性が自身の環境内の製品に影響を与えるかどうかを確認できるようにするためです。
CPEのマッピングが存在しない、不完全である、または遅延している場合、主にCPEの照合に依存するツールでは、一致を検出できないか、検出が遅れる可能性があります。
セキュリティ製品ベンダーは、その製品がCPE照合やCVE情報の充実化に依存していることが多いため、最も大きな影響を受ける分野の一つです。パッチ管理、エンドポイント保護、ネットワークアクセス制御、および資産管理ツールは、正確な脆弱性インテリジェンスに基づいて、どのシステムが影響を受けているか、問題の深刻度はどの程度か、そして次にどのような措置を講じるべきかを判断しています。
新しいセキュリティ製品を開発するチームにとって、NVDのみに依存して開発を開始することは、すでに重大な欠陥が存在する基盤の上に構築することになりかねません。具体的には、ゼロデイ脆弱性のカバー範囲が限定的であること、増加し続けるCVEに対する情報補完が不十分であること、そしてAIによる脆弱性の発見や悪用が急速に進むペースに追いつくのが困難な更新サイクルなどが挙げられます。
すでにパッチ適用や修正対応の機能を備えているチームにとって、リスクの性質は異なりますが、その重要性は変わりません。修正対応エンジンの有効性は、受け取る脆弱性インテリジェンスの質に左右されます。そのインテリジェンスが不完全であったり、遅延していたり、あるいはNVD由来の情報に過度に依存している場合、下流のワークフローでは影響を受ける製品を見落としたり、深刻度が不明な脆弱性の優先順位を下げたり、リスクが高まる前に対処できなかったりする恐れがあります。
もしそれらの製品がNVDの弱点を引き継ぐことになれば、その弱点は下流のすべての顧客にも引き継がれることになるだろう。
OESIS Framework Vulnerability Assessmentは、まさにこの課題を解決するために設計されました。つまり、セキュリティ製品チームが、NVDのエンリッチメント情報のみに依存することなく、脆弱性インテリジェンスを強化できるよう支援することを目的としています。
OPSWAT 独自OPSWAT
OPSWAT 、自社ツールに信頼性が高く実用的な脆弱性データを組み込む必要があるセキュリティ製品開発者のために、OESIS Frameworkの脆弱性評価モジュールを特別にOPSWAT 。
「ギャップ」を軸に設計
このモジュールは、単一の情報源に依存するのではなく、複数の情報源を統合します。
本ソリューションは、さまざまな商用およびオープンソースの脆弱性情報源を活用し、数百に及ぶベンダーやアプリケーションを網羅した、タイムリーかつ正確な情報を提供します。
OESIS脆弱性カタログは現在、65,000件以上の固有のCVEと150,000件以上の脆弱性インスタンスを網羅しており、NVDの処理サイクルを待つのではなく、1日に複数回、継続的に更新されています。
CVSSを超える独自の深刻度スコアであり、より詳細な背景情報を提供します。
OPSWAT脆弱性データOPSWAT、「OPSWAT Score」が含まれています。これは、CVEの普及度、侵害リスク、CVEのライフサイクルなどの追加情報を組み込むことで、CVSSの基準を超える独自の評価指標です。
CVSSスコアの自己申告による割合が増加している状況において、この独立した分析層は、セキュリティ製品がユーザーに対して、より説得力のある優先順位付けの指針を提供するのに役立つ可能性がある。
OESISの脆弱性インテリジェンスは、複雑な導入準備を必要とせず、2つの統合パスをサポートしています:
- カタログフィード:OESISの脆弱性データを、サーバー側で既存のソフトウェアインベントリと照合します。エンドポイントエージェントは不要です。ソフトウェアインベントリ機能を備えた既存の製品では、OESISデータを利用して、管理対象資産全体の脆弱性を検出できます。
- Endpoint (Software キット): OESIS フレームワークを製品に直接組み込むことで、デバイス上でリアルタイムvulnerability detectionを実現します。エンドポイント上で動作するセキュリティ製品に最適です
内部の脆弱性調査
OPSWAT 内部脅威調査チーム「Unit 515」は、重要インフラおよびエンタープライズソフトウェアを対象に、継続的な 攻撃的セキュリティ調査、敵対的シミュレーション、高度なテスト、および責任ある 開示活動を行っています。同チームは、 Delta PLCなどのICS/OTプラットフォームやAIネイティブプラットフォームなど、広く導入されているソフトウェアにおける重大な脆弱性を含め、 50件以上のゼロデイ脆弱性を特定・報告してきました。
セキュリティ製品開発者にとっての 実質的な効果は、NVDのデータ充実化の範囲が狭まっても、 自社のツールがより広範な脆弱性をカバーし続けられるようになるという点です。 これにより、顧客が可視性の低下や手動での回避策を受け入れる必要がなくなります。
検知と是正:完全なサイクル
検出によって脆弱性が特定され、修正によってそれが解決されます。これらを組み合わせることで、リスクの連鎖を可能な限り断ち切ることができます。OESIS Vulnerability Assessmentは、検出と優先順位付けを担当します。OESISPatch Management、これら両方の機能を単一のフレームワークで利用したいチーム向けに提供されています:
- 検出対象: 脆弱性のあるアプリケーション、バージョンが一致するもの、OPSWAT 、およびKEVフラグが設定されたもの
- 優先順位付け: OPSWAT 、実際の攻撃の兆候に基づいて、何を優先的に修正すべきかを明らかにします
- 対応策: 既存のパイプラインでOESISの出力を処理することも可能です。あるいは、OESISPatch Management 、パッチの適用、バージョンの強制、またはアクセスのブロックを直接Patch Management 。
- 検証: OESISは、アクセスが復旧する前にエンドポイントがクリーンであることを確認するため、復旧後に再スキャンを行います
「検知のみ」では単なる報告に過ぎませんが、「検知と是正措置」があればリスクは解決されたことになります。OESISは、お客様の製品にこの両方を提供し、検知と是正措置のループをより迅速に完結させることで、AIのスピードに匹敵する脅威への対応を可能にします。
AI-Speedの脆弱性には、AI-Speedによる発見が必要である
セキュリティ製品において、脆弱性情報を動きの遅いバックエンドの依存要素として扱う余裕はありません。CVEの件数が増加し、情報の充実度が不均一になる中、製品チームは、検知、優先順位付け、および修正のワークフローを、実際のリスク状況と常に整合させる方法が必要とされています。
そこで「OESIS Framework Vulnerability Assessment」の出番となります。このツールは、製品開発者がエンドポイントや修正スタックを一から構築し直すことなく、脆弱性のカバレッジを強化するための実用的な手段を提供します。新製品を立ち上げるチームにとっては、早期に信頼性の高いカバレッジを確立するのに役立ちます。既存製品を改善するチームにとっては、カバレッジの比較、改善点の検証、そしてより深い統合のあり方を決定するための、負担の少ない方法を提供します。
