NIST、ソフトウェア脆弱性管理体制を「選別管理」へ改編

米国立標準技術研究所（NIST）がソフトウェア脆弱性管理体制を「選別管理」へと全面的に改編する。これまでのように全ての脆弱性を一つ一つ分析するのではなく、実際のハッキング攻撃に利用される可能性が高い、あるいは大きな被害をもたらし得る脆弱性を選んで集中的に管理する予定だ。これは最近急増しているソフトウェア脆弱性報告に効果的に対応するための措置だ。NISTは国家脆弱性データベース（NVD）の運営方式を修正し、実際の悪用可能性と影響度を基準とした「選別管理」体制に移行する。NISTはNVDの脆弱性データ補強戦略を調整し、全てのCVE（Common Vulnerabilities and Exposures）に同水準の分析情報を提供していた従来の方式から脱却し、最も重要な脆弱性に分析能力を集中させる。AI基盤ツールの普及によりソフトウェア脆弱性報告が急増し、従来の П中央機関の分析能力での対応が困難になったこと、そして実際の攻撃に活用される脆弱性は急増する脆弱性の中でも極めて限定的であるという点を反映した。

NISTは今後、CISA KEV（米国CISAの「既に悪用された脆弱性」）リストへの掲載、米連邦政府・公共機関が使用する製品関連の脆弱性、基幹ソフトウェアの脆弱性などを優先配分対象に選定し、管理能力を集中させる。

脆弱性管理のパラダイムを「件数中心」から「リスク・コンテキスト中心」へ転換すべきだという声が出ている。AIが誘発した脆弱性の急増は、従来の管理方式の有効性に疑問を投げかけている。実際の攻撃者が活用する脆弱性、その脆弱性が資産構造と結びつく方式、そしてこれを悪用した攻撃シナリオから連鎖し得る被害などを総合して優先順位を決定する「悪用基盤・コンテキスト基盤管理」への転換が求められている。AIは攻撃の加速化と、より多くの脆弱性の発見を同時に可能にするツールとして活用される。また、膨大な脆弱性リスト、資産情報、攻撃ログを結合し、組織にとって最も危険な脆弱性と適用すべきパッチの優先順位を計算するツールとしても使われる。業界では、AIが脆弱性の「発見」を加速させる一方で、防御側でもAIによる「選別」と「並べ替え」を自動化しなければ、バランスを取るのが難しいという指摘が出ている。

NISTの今回の決定は、米国がこれまで担ってきた公的脆弱性インフラとしての役割に根本的な問いを投げかけるものだ。CVEとNVDは依然として脆弱性管理の基本骨格だが、「全世界の脆弱性の意味を一つの場所で定義する最終基準」としての地位を維持することは難しくなってきている。