東京報道新聞

米国立標準技術研究所（NIST）が、世界中から報告されるソフトウエア脆弱性の「全件分析」を事実上やめ、緊急性の高い案件に対象を絞る方針へ転換しました。 背景には、人工知能（AI）による検知精度の向上を受け、脆弱性の報告件数が爆発的に増加し、人手による評価が追いつかなくなっている現状があります。 企業や研究者にとって指標となってきたNISTの評価が限定されることで、日本企業のパッチ対応の優先順位付けにも影響が及ぶ可能性があります。

NISTは、脆弱性情報データベース「NVD」に登録されるCVE（共通脆弱性識別子）について、これまでは原則としてすべてに詳細な深刻度評価や追加情報を付与してきました。 しかし2020年以降、CVEの登録件数は急増しており、2020年から2025年の間で提出数は260％超増加したとされます。 2026年第1四半期も前年比30％以上の増加ペースとなり、「すべてを同じ深さで分析する」従来モデルは限界を迎えました。

この状況を加速させたとされるのが、米アンソロピックが開発した高度なAIモデル「Claude Mythos（クロード・ミュトス）」です。 Mythosは、未知の脆弱性（ゼロデイ）を人間を上回る速度で発見し、実用的な攻撃コードまで生成できる能力を持つと報じられています。 その危険性から、同モデルは一般公開が見送られ、限定されたテック企業や金融機関などの防御目的に利用が絞られているとされています。 一方で、金融当局や業界団体は、こうしたAIが悪用されれば金融システム全体を不安定化させる恐れがあると警鐘を鳴らしており、AIによる「脆弱性の大洪水」が防御側のキャパシティーを超えるリスクが浮き彫りになっています。

NISTが今回打ち出した新方針では、NVDでの詳細分析の対象を、実際の攻撃で悪用が確認されている脆弱性を集約したCISAの「Known Exploited Vulnerabilities（KEV）」リストや、政府システムや重要インフラに関わるソフトウエアの脆弱性など、リスクの高い案件に優先的に絞り込むとしています。 これにより、「全件を同じ深さで評価する」モデルから、「悪用の現実性に基づいて優先度を付ける」リスクベース運用へと思想が転換します。 日本でも、情報処理推進機構（IPA）が10大脅威の公表などを通じてリスクベースの対応を促しており、NISTの変化は国内の運用にも波及するとみられます。

企業に求められる「取捨選択」とAI時代の防御戦略

NISTの方針転換によって、「NVDを見ていれば優先順位が分かる」という前提は崩れつつあります。 今後は、各企業や組織がNVD以外の脆弱性インテリジェンスも組み合わせ、自らリスク評価と優先順位付けを行うことが不可欠になります。 すべての脆弱性を機械的に修正する姿勢では、人材や予算が限られる中で本当に危険な案件への対応が後回しになる「逆効果」も指摘されており、軽微な脆弱性は受容しつつ重大なリスクに集中する判断が求められます。

一方で、AIの高度化は防御側にとっても新たな武器となり得ます。国内でも、IPAの「情報セキュリティ10大脅威2026」では「AIの悪用によるサイバー攻撃の高度化・増加」が主要脅威に位置づけられる一方、AIを活用した異常検知や自動パッチ適用などの対策が紹介されています。 ただし、AIが提案する修正をそのまま適用すると他システムとの連係に影響が出る恐れもあり、最終的な検証と責任は人間が負う必要があると専門家は指摘します。

日本企業にとって、NISTの判断は「海外標準に依存した一律対応」からの脱却を迫るものでもあります。NVDのスコアに全面的に頼るのではなく、自社の業種・システム構成・サプライチェーンを踏まえた優先順位付けのルールを整備し、IPAなど国内機関の情報や自社ログ分析、外部脅威インテリジェンスを組み合わせる運用への移行が急務です。 AIが生み出す「脆弱性の嵐」の中で、防御側が限られたリソースをどこに投じるか──その取捨選択の質が、今後のサイバー防衛力を左右する局面に入りつつあります。