サイバーセキュリティの基盤を揺るがす大きな転換期が訪れました。米国国立標準技術研究所(NIST)が、これまで全てのソフトウェア脆弱性を評価してきた「普遍的評価モデル」を事実上撤退し、緊急性の高い案件に限定する方針を固めたのです。
この背景には、米アンソロピック社が開発した高度AI Mythos(ミュトス)の登場と、それに伴う脆弱性発見の「爆発的な加速」があります。企業や組織は今後、公的なデータベースに依存しない自律的なリスク管理を迫られることになります。
本記事では、この「NVDショック」の真相と、AI時代の新たな生存戦略について解説します。
限界に達したNISTの脆弱性評価体制
長年、セキュリティ担当者の指標となってきた国家脆弱性データベース(NVD)が、その運用の限界を迎えました。
従来、NISTは公開された全ての脆弱性(CVE)に対し、深刻度スコア(CVSS)の算出や影響範囲の特定といった「エンリッチメント(情報付加)」作業を行ってきました。しかし、近年のソフトウェアの複雑化に加え、AIによる開発・解析スピードの向上により、脆弱性の報告数は過去数年で急増。2025年には未処理のバックログが 30,000 件を超え、システムが実質的に破綻しました。
これを受け、NISTは資源を「重要インフラ」や「実際に悪用されている脆弱性」に集中させるリスクベースのモデルへの移行を宣言したのです。
AI「Mythos」が引き起こしたサイバーセキュリティのパラダイムシフト
NISTの方針転換を決定づけたのは、Anthropic社が開発したAIモデル Mythos の存在です。
27年間眠っていた脆弱性を瞬時に特定
Mythosは、従来の解析ツールや人間の研究者が四半世紀以上も見逃してきた「FreeBSDカーネルのゼロデイ脆弱性」を自律的に発見しました。これは、AIが単なる補助ツールではなく、人間を遥かに凌駕する推論能力でコードの深淵を解析できるようになったことを証明しています。
攻撃の経済性を逆転させる「発見の高速化」
これまで高度な脆弱性の発見には、専門家が数週間から数ヶ月を費やすのが一般的でした。しかし、Mythos級のAIはこれをわずか数分から数時間で、かつ極めて低コストに実行します。この「発見スピードの圧倒的な加速」がCVE申請の津波を生み、人間主導の評価プロセスを物理的に不可能なものにしました。
NISTの新運用方針:何が評価され、何が「見捨てられる」のか
2026年4月以降、NISTが詳細な分析を行うのは、以下の基準に合致する「高リスクな案件」に限定されます。
- CISAのKEVカタログ掲載案件:実際にサイバー攻撃に悪用されている証拠があるもの。
- 米連邦政府が使用するソフトウェア:政府機関の保護に直結するもの。
- 国家インフラを支える重要ソフトウェア:大統領令で定義された極めて重要なシステム。
この基準から漏れた膨大な数の脆弱性は「未計画」ステータスとなり、詳細な分析が行われないまま放置されることになります。これは、中小規模の組織や、公的データに依存して自動アップデートを行ってきた企業にとって、大きなセキュリティリスクとなります。
AI主導の脅威環境で企業が取るべき生存戦略
もはや「パッチ公開を待って適用する」という受動的な姿勢では、AIのスピード感には追いつけません。企業は以下の3つの柱に基づいたレジリエンス(回復力)の再定義が求められます。
継続的脅威露出管理(CTEM)への移行
単に脆弱性の有無を確認するのではなく、「その脆弱性が自社の環境で実際に攻撃可能か(到達可能性)」を動的に評価する手法です。ネットワーク分離などのコンテキストを考慮し、真に優先すべきリスクを特定します。
インテリジェンスの多角化
NVDという単一のソースに依存せず、欧州のデータベース(EUVD)や民間のインテリジェンス、オープンソース向けのOSVなどを組み合わせた、冗長性の高い情報収集体制を構築する必要があります。
データ中心のセキュリティ(データレイヤー・ガバナンス)
アプリの脆弱性をAIが突いて侵入することを前提とし、最終的な防衛線として「データそのもの」を保護します。属性ベースのアクセス制御(ABAC)や、強力な暗号化(FIPS 140-3)により、侵入されても情報を持ち出させない仕組みを確立します。
まとめ:AI時代のリスク管理は「自律」が鍵
NISTの方針転換は、政府による一律の保護が終了したことを意味します。AI「Mythos」がもたらした脅威の高速化に対し、防御側もまたAIを活用した自動化と、自社の環境に最適化されたリスク評価を導入しなければなりません。
2026年の「NVDショック」を機に、セキュリティを技術部門だけの問題ではなく、経営戦略としてのリスク管理へと引き上げることが、これからのデジタル社会を生き抜く唯一の道となります。
が、これまで全てのソフトウェア脆弱性を評価してきた「普遍的評価モデル」を事実上撤退し、緊急性の高い案件に){kind=link}