NISTのCVE triageを、HNはsecurity metadata debtとして読んだ

このNISTのNVD変更にHNが反応した理由は、単なる行政手続きの話ではない。議論の芯は、defendersが頼るvulnerability metadataを誰が維持するのか、だった。NISTは2026年4月15日、National Vulnerability Databaseをrisk-based enrichment modelへ移すと説明した。priority criteriaから外れるCVEもNVDには載るが、severity、product lists、関連情報のenrichmentはすぐには行われない。

背景には明確なvolume problemがある。NISTによるとCVE submissionsは2020年から2025年に263%増え、2026年第1四半期も前年同期よりほぼone-third多かった。NISTは2025年に約42,000件のCVEをenrichし、過去最高より45%多い処理量だったが、それでも追いつけないとした。

新しいpriority対象は、CISA Known Exploited Vulnerabilities catalogに載るCVE、federal governmentで使われるsoftwareのCVE、Executive Order 14028で定義されるcritical softwareのCVEである。それ以外は“Lowest Priority - not scheduled for immediate enrichment”になり得る。さらに、CNAがseverity scoreを出している場合、NISTはroutineな別score提供をやめる。必要な場合はemailでenrichmentやreanalysisをrequestできる。

community discussion noted that vendorやCNAが自社softwareのseverityを低く見積もる誘因を心配する声があった。一方で、NVD severity data自体も完璧なtruth sourceではなく、低品質またはAI-assistedなreportsの洪水がuniversal enrichmentを非現実的にしている、という見方もあった。このthreadの実務的な結論は、一つのpublic databaseがすべてを期限内に正規化してくれるという前提を捨てることに近い。

詳細はHN discussion、Risky Bulletin、NIST updateで確認できる。