NVDの運用変更でCVSS・CPEが付かない脆弱性が急増——PSIRT実務への影響と対応策を詳しく解説

「脆弱性の情報が足りない」問題が急に増えた理由
NVDで何が変わった？「CVSSスコア」と「CPE」が付かない弱点が増えた仕組み
PSIRT実務ではどんな困りごとが起きるのか
PSIRT担当者がまず取り組める対応策
まとめ——「情報が来るのを待つ」から「自分で取りに行く」への転換

「脆弱性の情報が足りない」問題が急に増えた理由

ソフトウェアやネットワーク機器を作っている会社で、「最近、脆弱性（ぜいじゃくせい）の情報がスカスカで判断できない」という声が増えています。脆弱性とは、製品やシステムに潜むセキュリティ上の弱点のこと。たとえるなら、家のドアの鍵が壊れやすい構造になっている状態です。

この弱点の情報を世界中に共有するデータベースが、NVD（National Vulnerability Database）です。アメリカの国立標準技術研究所（NIST）が運営しており、「どの製品に」「どれくらい深刻な弱点があるか」を誰でも調べられる場所でした。

ところが2026年4月、NISTはNVDの運営ルールを大きく変えました。すべての弱点に同じレベルの詳しい情報を付けるのをやめ、優先度の高いものから順番に対応する方式へ切り替えたのです。その結果、情報が付かないまま放置される弱点が急増しています。

「自分たちの製品に関係ある弱点かどうかさえ分からない」。こんな困りごとに直面している担当者に向けて、何が起きていて、どう対処すればいいかを順番に説明します。

NVDで何が変わった？「CVSSスコア」と「CPE」が付かない弱点が増えた仕組み

まず、NVDの変更の中身をかみくだいて整理しましょう。ポイントは二つの情報が付かなくなったことです。

CVSSスコアとは何か

CVSS（Common Vulnerability Scoring System）は、弱点の深刻さを0から10の数字で表す共通の物差しです。身近なたとえでいうと、台風の強さを「カテゴリ1〜5」で分けるのと同じ発想です。数字が高いほど「すぐに直さないと危ない」と判断できます。

このスコアがあると、「まず10に近いものから対応し、低いものは来月でもいい」と順番を決められます。スコアが付いていないと、弱点が100件あっても、どれから手を付けるべきか分かりません。

CPEとは何か

CPE（Common Platform Enumeration）は、弱点が「どの会社のどの製品のどのバージョンに影響するか」を一意に示す名前の仕組みです。たとえば「A社のルーター、型番Bのファームウェアv3.1」のように、製品を特定するための住所のようなものです。

CPEが付いていれば、「うちの製品リストとNVDのデータを突き合わせて、関係ある弱点だけ自動で拾い出す」ことが可能でした。CPEがないと、この自動チェックが動きません。担当者が一つずつ手作業で「これはうちに関係あるか？」と読んで判断するしかなくなります。

なぜNISTは方式を変えたのか

背景にあるのは、CVE（Common Vulnerabilities and Exposures）の登録件数の爆発的な増加です。CVEとは、世界中の弱点に付けられる共通の識別番号のこと。たとえるなら、交通事故ごとに付く事件番号のようなものです。

近年、ソフトウェアの種類が増え続けたことで、CVEの登録数は毎年過去最多を更新するペースです。一方、NVDの分析を担当するスタッフの数は大きく増えていません。つまり、全件に同じ品質で情報を付けることが物理的に追いつかなくなったのです。

そこでNISTは「重要度の高い弱点から先に詳しく分析し、それ以外は後回しにする」という優先対応モデルに移行しました。合理的な判断ではありますが、後回しにされた弱点にはCVSSもCPEも付かないまま長期間放置されるという副作用が生まれています。

PSIRT実務ではどんな困りごとが起きるのか

PSIRT（Product Security Incident Response Team）とは、自社製品のセキュリティ問題に対応する専門チームのことです。たとえば家電メーカーなら、自社のルーターやカメラに見つかった弱点を調べ、修正プログラムを出す部署にあたります。

NVDの変更によって、このPSIRTの仕事にいくつかの具体的な困りごとが発生しています。

自動仕分けが空振りする 多くのPSIRTは、NVDからデータを取り込み、CVSSスコアとCPEを使って「対応が必要な弱点」を自動で絞り込んでいました。スコアもCPEもない弱点は、この仕組みのフィルターをすり抜けて「対応不要」に分類されてしまいます。本当は危険な弱点なのに見逃す可能性が高まっています。
手作業が増えて時間が足りない 自動で判定できなかった弱点は、人間が一件ずつ元のレポートを読んで判断するしかありません。弱点の数は増える一方なので、担当者の負担は大きく膨らみます。
法規制の期限に間に合わないリスク たとえばEUのCRA（Cyber Resilience Act）という規制では、製品に関わる弱点を発見したら決められた期限内に報告する義務があります。身近なたとえでいうと、食品メーカーがリコール対象の商品を一定期間内に届け出なければ罰則を受けるのと似た仕組みです。NVDの情報が足りないせいで判断が遅れると、この報告期限を過ぎてしまうおそれがあります。
社内外への説明が難しくなる CVSSスコアは「この弱点がどれくらい危ないか」を社内の経営陣や取引先に伝える共通言語でした。スコアがなければ、なぜ対応を急ぐのか、あるいは後回しにしてよいのかを説明する材料が減ります。

つまり、NVDだけを頼りにしていた組織ほど影響が大きい構造です。逆に言えば、NVD以外の情報源を組み合わせる体制を作ることが対策の軸になります。

PSIRT担当者がまず取り組める対応策

では、実際にどう動けばいいのでしょうか。専門的な大改修をしなくても始められることから整理します。

情報源をNVDだけに頼らない体制を作る

もっとも基本的な対策は、弱点の情報を集める窓口を複数にすることです。NVDはあくまで二次情報をまとめたデータベースです。元の情報を出しているのは、ソフトウェアの開発元やセキュリティ研究者です。

たとえば、Linuxのカーネル（OSの中核部分）の弱点なら、Linux開発コミュニティ自身がCVSSスコア相当の評価を出していることがあります。自社が使っている主要なソフトウェアについて、「開発元のセキュリティ情報ページ」を定期的にチェックするリストを作るだけでも、NVDの空白を埋める助けになります。

自前でCVSSスコアを付ける仕組みを持つ

NVDが付けてくれないなら、自分たちで付ける、という考え方です。CVSSの計算方法自体は公開されており、弱点の技術的な特徴を入力すれば算出できます。

ここで大事なのは、「自社製品にとっての深刻さ」を加味することです。NVDのスコアはあくまで一般論です。自社製品が影響を受ける条件を考慮したうえでスコアを出せば、NVDに頼っていたときより、むしろ正確な判断ができるようになります。身近なたとえでいうと、天気予報の全国版だけでなく、自分の住む地域のピンポイント予報を見るようなものです。

CPEの情報をCNAから取得する

CNA（CVE Numbering Authority）とは、CVE番号を発行する権限を持つ組織のことです。大手ソフトウェア会社や一部のセキュリティ団体がCNAに認定されています。CNAはCVE番号を発行するとき、製品の影響範囲の情報も一緒に公開していることがあります。

NVDにCPEが付いていなくても、CNAが出した情報には製品名やバージョンが含まれている場合があります。NVDの画面だけを見て「情報がない」と判断するのではなく、CVEの元データを出したCNAまでさかのぼる習慣を付けると、必要な情報にたどり着ける確率が上がります。

社内ルールを見直すタイミングにする

多くの組織の脆弱性対応マニュアルには、「NVDでCVSSスコアが7.0以上の弱点を優先対応する」のようなルールが書かれています。NVDにスコアが付かない弱点が増えた今、このルールのままでは対応漏れが起きます。

ルールを見直すときのポイントは、「スコアが付いていない弱点をどう扱うか」を明文化することです。たとえば「NVDにスコアがない場合は、自社で仮スコアを算出し、仮スコアに基づいて対応する」「48時間以内にCNA情報を確認し、それでも判断できなければエスカレーション（上位者への相談）する」といった手順を加えるだけで、抜け漏れを防ぎやすくなります。

法規制への対応も同様です。CRAのような報告期限がある場合、NVDの情報待ちで時間を使い切らないよう、「NVDの情報が出ていなくても、CVE番号が発行された時点で初動調査を開始する」といったルールに変えておくと安心です。

まとめ——「情報が来るのを待つ」から「自分で取りに行く」への転換

NVDの運用変更は、一言でまとめると「これまで無料で自動的にもらえていた情報が、もらえなくなることがある」という変化です。台風の進路予報が急に精度を落としたら、自分で空を見て判断する力が必要になるのと同じ構造です。

やるべきことを振り返ると、まず情報源をNVD一本に絞らず複数に広げること。次に、自社でスコアを付ける手順を整えること。そしてCNAの元データを確認する習慣を作ること。最後に、社内のルールを「スコアがない場合」にも対応できるように書き換えること。

どれも大規模なシステム投資なしに始められるステップです。NVDのデータが完全に信頼できた時代はすでに過去のものになりつつあります。「待ちの姿勢」から「自分で取りに行く姿勢」へ切り替えることが、これからの製品セキュリティを守る基本の考え方になります。

よくある質問（FAQ）

Q. NVDでCVSSスコアやCPEが付かない脆弱性が増えているのはなぜですか？

A. CVE登録件数が爆発的に増加する一方でNVDの分析スタッフは大きく増えておらず、全件に同じ品質で情報を付けることが追いつかなくなりました。そのためNISTは重要度の高い脆弱性から優先的に分析する方式へ移行し、後回しにされた脆弱性にはCVSSスコアもCPEも付かないまま長期間放置される状況が生まれています。

Q. CVSSスコアやCPEが付かないことでPSIRT実務にどのような影響がありますか？

A. CVSSとCPEを使った自動仕分けが機能しなくなり、危険な脆弱性を見逃すリスクが高まります。また手作業での確認が増えて担当者の負担が膨らみ、EU CRAなど法規制の報告期限に間に合わなくなるおそれや、経営陣・取引先への深刻度説明が難しくなるといった問題も発生しています。

Q. NVDの情報不足に対してPSIRT担当者がまず取り組める対応策は何ですか？

A. 記事では主に4つの対応策を挙げています。①開発元のセキュリティ情報ページなどNVD以外の情報源を複数確保する、②CVSSの計算方法に基づき自社製品の条件を加味した自前スコアリングを行う、③CVE番号を発行したCNAの元データまでさかのぼり製品名やバージョン情報を確認する、④社内マニュアルに「スコアが付いていない場合」の手順を明文化しルールを更新する——いずれも大規模なシステム投資なしに着手できます。