// シス担のミカタ
脆弱性管理

NVD(National Vulnerability Database) えぬぶいでぃ

脆弱性データベースCVECVSSNISTセキュリティパッチリスク評価
NVDについて教えて

簡単に言うとこんな感じ!

NVDは「世界中のソフトウェアの欠陥(脆弱性)を一か所にまとめた公式カタログ」だよ!アメリカ政府機関NISTが管理していて、「この欠陥はどれくらい危険か?」というスコアまで付けてくれるんだ。セキュリティ担当者にとっては、パッチ対応の優先順位を決める超重要な情報源ってこと!

NVDとは

NVD(National Vulnerability Database) は、アメリカ国立標準技術研究所(NIST)が運営する、ソフトウェアの脆弱性(セキュリティ上の欠陥)を網羅的に収録した公開データベースです。1990年代後半から運用が始まり、現在は20万件を超える脆弱性情報を無償で提供しています。

NVDの最大の特徴は、単に欠陥を列挙するだけでなく、CVSS(Common Vulnerability Scoring System) というスコアリング方式を使って「この脆弱性はどれくらい深刻か」を数値化していることです。スコアは0〜10の範囲で表され、10に近いほど緊急度が高いことを意味します。企業のセキュリティ担当者はこのスコアを使って「今すぐ対応すべき」「来月でよい」といった優先順位の判断を下しています。

NVDに登録される脆弱性は、もう一つの重要な仕組みである CVE(Common Vulnerabilities and Exposures) と連動しています。CVEが「脆弱性に固有のID番号を振る」役割を担い、NVDが「そのIDに詳細情報・スコア・対策情報を肉付けする」という関係です。NVDなしにはパッチ管理ツールや脆弱性スキャナーが機能しないほど、現代のセキュリティインフラの根幹を担っています。

NVDの構造と収録情報

NVDの各エントリには、脆弱性を評価・対処するための多層的な情報が収録されています。

情報項目内容実務での使い方
CVE ID脆弱性の固有識別番号(例: CVE-2021-44228)ツール・ベンダー間での脆弱性の照合
CVSSスコア深刻度を0〜10で数値化パッチ適用の優先順位付け
CWE分類欠陥の種類(バッファオーバーフローなど)脆弱性の根本原因の把握
CPE影響を受ける製品・バージョンの特定自社環境への影響範囲の確認
参照リンクベンダーアドバイザリ・パッチ情報修正方法の確認
公開日・更新日情報の鮮度最新状況の把握

CVSSスコアの読み方

CVSSスコアは直感的に理解できる5段階で分類されています。

スコア深刻度対応目安
9.0〜10.0Critical(緊急)即時対応(数日以内)
7.0〜8.9High(高)優先対応(2週間以内)
4.0〜6.9Medium(中)計画的対応(翌月まで)
0.1〜3.9Low(低)リスク受容も選択肢
0.0None(なし)対応不要

覚え方のコツ

NVD=脆弱性の成績表」と覚えよう。CVEが「欠陥の名前と番号」を付け、NVDが「その欠陥の点数と解説」を加える——まるで試験の答案に採点と解説が加わるイメージ!

歴史と背景

  • 1995年頃 — NISTが脆弱性情報の標準化の必要性を認識。インターネット普及に伴いソフトウェアの欠陥情報が乱立し、統一管理が急務に
  • 1999年 — MITREがCVEを開始。脆弱性に共通IDを付与する仕組みが生まれる
  • 2000年 — NISTがNVDの前身となるIAVDB(ICAT)を公開。CVEと連動した詳細情報提供を開始
  • 2005年 — 正式に「NVD」として再編・公開。CVSSを導入し、スコアによる定量評価が可能に
  • 2007年 — CVSSバージョン2が策定され、NVDに採用。業界標準として急速に普及
  • 2015年 — CVSSバージョン3が登場。攻撃の文脈や影響範囲をより精密に評価できるよう改良
  • 2019年 — NVDのAPIが公開され、各社のセキュリティツールとの連携が容易に
  • 2023年 — CVSSバージョン4.0が策定。OTセキュリティ(工場・インフラ系)への対応も強化
  • 現在 — GitHubのDependabot、Snyk、Qualysなど数百のセキュリティツールがNVDをデータソースとして活用

CVEとNVDの関係・役割分担

CVEとNVDはよく混同されますが、役割が明確に異なります。

CVE と NVD の役割分担 CVE (MITREが管理) 脆弱性に固有IDを付与 簡潔な説明文を収録 参照先URLのリスト 公開日のみ記録 NVD (NISTが管理) CVSSスコアを追加 影響製品(CPE)を特定 CWEで欠陥種別を分類 対策・パッチ情報を集約 連動 「名前と番号」係 「採点と解説」係

NVDと類似サービスの比較

サービス運営特徴主な用途
NVDNIST(米政府)公式・無償・API提供標準的な脆弱性情報収集
JVNIPA・JPCERT/CC(日本)日本語対応・国内製品に強い日本語での情報収集
OSVGoogleOSS特化・機械可読オープンソース依存管理
VulhubコミュニティPoC付きで詳細セキュリティ研究・検証
VulDB民間独自スコア・早期情報商用脅威インテリジェンス

関連する規格・RFC

規格・番号内容
NIST SP 800-51 Rev.1NVDおよびCVEの活用ガイドライン
RFC 9116security.txt:脆弱性報告の連絡先を明示するファイル形式

関連用語

  • CVE — 脆弱性に固有のID番号を付与する国際標準の識別体系
  • CVSS — 脆弱性の深刻度を0〜10で数値化するスコアリング方式
  • CWE — ソフトウェアの欠陥種別を分類する共通脆弱性タイプ一覧
  • CPE — 影響を受けるソフトウェア・ハードウェアを一意に識別する命名規則
  • 脆弱性スキャナー — NVDのデータを使いシステムの欠陥を自動検出するツール
  • パッチ管理 — 脆弱性への修正プログラムを計画的に適用する運用プロセス
  • JVN — IPAとJPCERT/CCが運営する日本語対応の脆弱性情報データベース
  • SBOM — ソフトウェアの部品表。NVDと組み合わせて依存ライブラリの脆弱性を管理