CVSSスコアは「重要な脆弱性だけ」に?NVDの方針転換とリスクベース脆弱性管理(KEV・EPSS)を中小企業向けに解説
2026年4月、米国NIST(米国立標準技術研究所)が、世界中で使われる脆弱性データベース「NVD」の運用方針を大きく変えました。新しく報告される脆弱性(CVE)の数が増えすぎて、すべてに深刻度スコア(CVSS)や詳細情報を付け切れなくなったため、KEV(実際に悪用が確認された脆弱性)や政府・重要ソフトに関わるものなど“重要なものだけ”に詳細付与を絞る方針に転換したのです。対象は今後の全CVEのおよそ15〜20%にとどまると見られています。
つまり、これからは「CVSSスコアが付いていない脆弱性」が大量に出てきます。中小企業にとっての結論はシンプルで、「CVSSの点数だけを見て対応する脆弱性管理」は限界になり、“実際に攻撃されているか”を軸にしたリスクベースの優先順位づけ(KEV・EPSSの活用)へ切り替える必要がある、ということです。この記事で、何が変わったのか・中小企業は何をすればいいのかを、専門用語をかみくだいて解説します。
▶ 関連記事:CVSSとは?脆弱性の深刻度を評価する共通指標をわかりやすく解説
何が変わった?NVDの方針転換をやさしく整理
これまでNVDは、報告されたほぼすべての脆弱性に対し、CVSSスコア・影響を受ける製品・弱点の分類などを付与(エンリッチ)してきました。しかし脆弱性の報告件数は2020年から2025年で263%増、2026年初頭も前年比で約3割増という“洪水”状態。人手が追いつかなくなり、2026年4月15日から次のように変わりました。
| 項目 | これまで | 2026年4月以降 |
| CVSSスコア付与 | ほぼ全件に付与 | 重要なものだけに付与 |
| 優先して詳細付与する対象 | 原則すべて | KEV掲載・政府/重要ソフト関連 |
| 対象外(多くの脆弱性)の扱い | ― | 「最低優先度」=スコアや製品情報なし |
| 想定カバー率 | 大半をカバー | 全体の約15〜20% |
| 私たちへの影響 | CVSSで一律に判断しやすい | CVSSだけでは判断できない場面が増える |
なお、2026年3月1日より前の「まだスコアが付いていない脆弱性」については、原則として今後も付与しない(必要なら個別にNISTへ依頼)方針です。重要なのは、「CVSSスコアが付いていない=安全」ではないという点。スコアが無いだけで、危険な脆弱性が混じっている可能性は十分あります。
そもそもCVSSとは?なぜ「多すぎ」が問題になるのか
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を0.0〜10.0の数値で表す世界共通の“ものさし”です。点数が高いほど危険度が高いとされ、多くの企業が「CVSSが高いものから直す」という運用をしてきました。
ところが、脆弱性の報告件数そのものが爆発的に増えた結果、「全部にスコアを付ける」ことも「スコアの高い順に全部直す」ことも現実的でなくなりました。とくに人手の限られる中小企業では、毎月大量に出る脆弱性をすべて追いかけるのは不可能です。だからこそ、点数の大小だけでなく「実際に悪用されているか」「自社に関係する資産か」で絞り込む発想が欠かせません。
CVSSだけに頼るのが危険なのはなぜ?「深刻度=優先度」ではない
見落とされがちですが、CVSSの点数は「悪用される可能性」までは表していません。これが落とし穴です。
- CVSSが高くても、攻撃に使われていない脆弱性は、実は後回しにできる場合があります。
- 逆にCVSSが中程度でも、実際に攻撃が出回っている脆弱性は、今すぐ直すべき最優先です。
実際、CISA(米国サイバーセキュリティ機関)のKEVに載っている脆弱性の約7割には、すぐ使える攻撃コードが存在するという報告もあります。点数の高さよりも、「今まさに狙われているか」を見る方が、限られた人手を正しく振り向けられるのです。
KEV・EPSSとは?リスクベース脆弱性管理の新しい物差し
CVSSを補う新しいものさしが「KEV」と「EPSS」です。3つを役割で整理すると次のようになります。
| 指標 | CVSS | KEV | EPSS |
| 何を表す | 深刻度(どれだけ危険か) | 実際に悪用が確認されたか | 近い将来に悪用される確率 |
| 値の形 | 0.0〜10.0の点数 | 掲載あり/なし | 0〜100%の確率 |
| 主な提供元 | FIRST(国際団体) | CISA(米政府機関) | FIRST(国際団体) |
| 使いどころ | 危険度の目安 | 最優先で直す判断 | 先回りの優先づけ |
かんたんに言えば、「KEVに載っていたら最優先」「EPSSが高ければ早めに対応」「CVSSは危険度の参考」と、3つを組み合わせて優先順位を決めるのがリスクベースの脆弱性管理です。NISTの方針転換も、この考え方に沿ったものといえます。
中小企業は何をすればいい?限られた人手での優先順位づけ
「米国の話でしょ?」と思うかもしれませんが、NVDは日本企業も日常的に参照しているため影響は他人事ではありません。とはいえ、中小企業がいきなり高度な仕組みを入れる必要はありません。次の順番で十分です。
- ① 自社の資産を把握する:どんなPC・サーバ・ソフト・クラウドを使っているか棚卸しする。守る対象が分からなければ優先順位もつけられません。
- ② KEV該当を最優先で対処:使っている製品がKEV(悪用確認済み)に載っていないかを確認し、あれば最優先でパッチ・更新。
- ③ 自動更新とパッチ管理を徹底:WindowsやアプリのアップデートをためずにあてるだけでもKEVの多くは塞げます。
- ④ 人手が足りなければ仕組みやサービスに頼る:IT資産管理ツールでパッチ状況を可視化し、判断まで任せたいなら脆弱性管理サービスやMDR(監視代行)を活用。
▶ 関連記事:IPA「情報セキュリティ10大脅威 2026」を中小企業向けに解説|初登場のAIリスクと優先すべき対策
脆弱性管理を効率化するツール・サービスは?
「自社だけで全部の脆弱性を追うのは無理」という中小企業がほとんどです。そこで現実的なのが、次のような仕組みに任せる方法です。
- IT資産管理ツール:社内のPC・ソフトのバージョンやパッチ未適用を一覧で見える化。どの端末が危ないかすぐ分かります。
- 脆弱性管理サービス:自社環境の脆弱性をスキャンし、KEVや攻撃可能性を踏まえて「直すべき順番」まで提示してくれます(例:Sophos Cyber Risk Management など)。
- MDR(マネージド検知・対応):専門家が24時間体制で監視・対応。脆弱性が悪用される“その瞬間”に気づける体制を作れます。
これらの導入費用は「デジタル化・AI導入補助金」の対象になり得ます。補助率・対象・要件は年度の公募要領で変わるため、申請前に最新の公募要領の確認と専門家への相談をおすすめします。アーデントでは、資産の棚卸しから補助金活用までを中小企業の目線で支援しています。
▶ 関連記事:Sophos Cyber Risk Management|Tenable技術と24/7マネージドサービスで攻撃される前に脆弱性を発見
▶ 関連記事:ISM CloudOne|クラウド型IT資産管理シェアNo.1・90,000社突破のエンドポイント統合管理
よくある質問(Q&A)
Q. CVSSはもう見なくていいのですか?
A. いいえ。CVSSは危険度の目安として引き続き有効です。ただし「点数だけ」で判断するのではなく、KEV(悪用確認)やEPSS(悪用確率)、自社資産の重要度と組み合わせて優先順位を決めるのが、これからの基本です。
Q. CVSSスコアが付いていない脆弱性は無視していい?
A. いけません。「スコアが無い=安全」ではなく、単に詳細付与の優先度が低いだけです。自社が使う製品に関わるものなら、ベンダー情報やKEVを確認して対応の要否を判断してください。
Q. KEVやEPSSはどこで確認できますか?
A. KEVはCISA(米サイバーセキュリティ機関)が公開するカタログ、EPSSはFIRSTが公開しています。日々の運用で個別に確認するのは大変なので、IT資産管理ツールや脆弱性管理サービスでまとめて扱うのが現実的です。
Q. 中小企業がまず最初にやるべきことは?
A. 自社の資産(PC・ソフト・クラウド)の棚卸しと、OS・アプリの自動更新の徹底です。これだけでも悪用されやすい脆弱性の多くを塞げます。その上でKEV該当を最優先に対応しましょう。
Q. 脆弱性管理に補助金は使えますか?
A. デジタル化・AI導入補助金などの対象になり得ますが、要件は年度ごとに変わります。最新の公募要領の確認と専門家への相談をおすすめします。
まとめ
NISTの方針転換は、「脆弱性が多すぎて、もはやCVSSスコアを全部には付けられない」という現実を映したものです。
これからの脆弱性管理は、CVSSの点数だけに頼らず、KEV(実際に悪用されているか)やEPSS(悪用される確率)、自社資産の重要度を組み合わせて“重要なものから”対応するリスクベースへと移ります。
中小企業にとっては、資産の棚卸し・自動更新・KEVの確認という基本に加え、人手が足りなければIT資産管理や脆弱性管理サービス、MDRに任せるのが現実的です。
何から始めればよいか分からない場合は、アーデントが補助金活用を含めてご提案します。