「NVDがスコアを付けなくなる」は、慌てる話なのか
目次
NVDが「自前の採点」を絞った
2026年4月、米国 NIST が運営する NVD(National Vulnerability Database=公的な脆弱性データベース) が運用を変えました。悪用が確認された脆弱性などを優先し、それ以外の大多数には自前で深刻度スコア(CVSS)や影響製品情報(CPE)を付けない、という方針です(NIST公式発表)。
用語補足:CVSS(Common Vulnerability Scoring System)は脆弱性の深刻度を0〜10で表す国際標準です。背景は単純で、CVE の数が多すぎるから。公開される CVE は2020年から2025年で263%増え、すべてに均一な採点を続けるのが限界に達しました。しかもこの増加は、AI の普及でさらに加速しています ― コード解析や脆弱性探索に AI が使われ、発見・報告の件数そのものが跳ね上がっているのです。
「スコアを見て対応してきたのに、スコアが消える」――一見、大ごとに聞こえます。ですが、落ち着いて中身を見ると、話は違います。
実は、「本当に重要な物」にはスコアが付く
NVD の新方針をよく読むと、優先して採点されるのは次の3つです(NIST公式発表)。
- CISA KEV 掲載(=実際に悪用中)の脆弱性:目標は1営業日以内に採点
- 連邦政府で使われるソフトの脆弱性
- 大統領令14028の重要ソフトの脆弱性
つまり NIST は、「今まさに危ない物」から優先して手厚く採点する方針に変えただけです。
さらに、"採点の担い手"が変わっただけという点も見落とせません。これまで、CVE 全体の CVSS は主に NVD が付けてきました。ところが今回 NVD はその役割を縮小し、発行元の CNA(CVE Numbering Authority=CVE番号を採番する組織。その多くは製品ベンダー)が付けたスコアに委ねる方針へ変えました。NIST 自身も、**「CNA が既にスコアを付けた CVE には、重複して自前スコアを付けない」**と明言しています(同発表)。**担い手が NVD からベンダー側へ移っただけで、スコアそのものが消えるわけではありません。**現に、NVD の自前採点が細った2025年でも、公開CVEの CVSS カバー率は9割超を維持しました。
要するに、スコアが付かなくなるのは、主にインパクトの薄い"長い裾野"。本当に危険な脆弱性は、悪用が始まれば最優先で採点され、主要製品のものはベンダーが採点済み。「重要な物にはスコアが付く」構造は変わっていません。
供給源を増やしても、根っこは変わらない
「NVD がダメなら、JVN(日本の脆弱性情報データベース)や EUVD(欧州 ENISA が運営する脆弱性データベース)、その他の脆弱性データベースで補えばいい」――そう考えたくなります。ですが、それは根本の解決になりません。
脆弱性が溢れているのは、AI の普及で発見・報告の件数そのものが爆発的に増えているからです。この"発見の背景"が変わらない限り、どの供給源も同じ洪水に晒されます。参照先を増やしても、採点しきれない脆弱性の総量は減らず、むしろ精度も鮮度もばらつく情報を混ぜ込むだけになりがちです。問題は「供給源の数」ではありません。
だから本当の問いは、「スコアがあるか」ではない
ここで発想を変えます。スコアが手に入るなら、それをどう使うか。答えは――スコアは"入口"であって、"結論"ではない、ということです。
CVSS は「悪用されたらどれだけ危険か(深刻度)」を教えてくれます。危険度の当たりをつける入口として、今もこれからも有効です。優先度づけでは、これに別の信号も組み合わせます。
- 悪用確率(EPSS) ― 実際に狙われそうか(EPSSとは)
- 実際に悪用中か(KEV) ― もう攻撃に使われているか(KEVカタログ)
- 業務インパクト ― その資産が自社にとってどれだけ重要か(業務インパクトスコア)
しかし、これらをどれだけ組み合わせても、分かるのは**「理論上どれだけ危険そうか」まで**です。「自社の環境で、本当に攻撃が成立するのか」は、スコアの外にあります。
結論は「実証」で出す ― スコアの先の二段構え
そこで、もうひとつ工程を重ねます。実際に攻撃が成立するかを確かめる、という工程です。
ただし、実証には落とし穴があります。手間とコストがかかるうえに、下手に攻撃を再現すれば、大事なIT資産を止めたり壊したりしかねない。本番のシステムに実弾を撃ち込むわけにはいきません。だからこそ、「どう確かめるか」の設計が決定的になります。
PentaTrail はこれを AIディープスキャン で解決します。AIディープスキャンは、発見した脆弱性が実際に攻撃できるかを、遠隔から・非破壊で(データの変更や削除を行わずに)確かめる工程です。対象の文脈に合わせて AI が検証コードを生成し、遠隔・非破壊で実行します。本番資産を壊さずに「刺さるか」だけを確かめられるのが要点です。
そして、すべてを実証するのではありません。入口のスコアと信号で優先度をつけた**"上位"に絞って**実証します。
- 上位の脆弱性を確かめ、「攻撃成立」と裏が取れたものは優先度をさらに上げる
- 「攻撃未成立(パッチ済み・設定で緩和済み)」なら経過観察に回す
- 下位に沈んだ物、遠隔・非破壊のHTTPでは確かめられない物(破壊的操作が必要・認証の先など)は、あえて実証しない
これが、スコアで並べ、上位だけを非破壊で裏取りする二段構えです(ディープスキャンによる脆弱性実証)。「壊さずに、刺さるかを確かめる」――CVEが溢れる時代に攻撃面を守る、現実的なやり方です。
PentaTrail の設計
PentaTrail の CTEM(継続的脅威エクスポージャー管理)は、この二段構えで作られています。
- スコアと信号を入口に、優先度を出す ― TER バンド(S/A/B/C/D)を、CVSS+EPSS+KEV+業務インパクトで算出します(TERとは)
- 上位だけを AIディープスキャンで裏取りする ― 優先度の高い脆弱性に絞り、遠隔・非破壊で「攻撃が成立するか」を確かめ、成立したものを引き上げます。本番資産を止める・壊すリスクを避ける設計です
- あなたの管理下で動く ― 能動的に確かめる以上、コントロールが大切です。有効にするかはお客様が決め、実行はいつでも一時停止・再開できます
- 裾野には実証コストをかけない ― 資源を"刺さる可能性が高い上位"に集中させます
NVD が自前採点を絞っても、重要な物にはスコアが付きます。だから「スコアを入口に使う」設計は機能し続けます。差がつくのは、その入口の先――大事な資産を壊さずに、理論値を実測に変えられるかです。
まとめ
スコアの空白に慌てて、消えたスコアを別の場所から探し回る必要はありません。重要な物にはスコアが付くからです。必要なのは、スコアを入口として正しく使い、その先で「本当に攻撃できるか」を、資産を壊さずに実証する規律です。
自社の外部攻撃面が「スコアで正しく並び、上位が非破壊の実証で裏取りされているか」――14日間無料で始める。CTEM の全体像は CTEM とは もどうぞ。
出典:CVE の3カテゴリ優先・KEV 1営業日目標・CNA採点への委譲は NIST公式発表(2026年4月)。「NVDの自前充実化が細るなかでも2025年のCVSSカバー率は9割超」は Recorded Future の集計に基づく。
