NVD (National Vulnerability Database) は、米国国立標準技術研究所 (NIST) が管理・運営する脆弱性情報のデータベースです。以下にNVDの主な特徴と重要性をまとめます:
NVDの概要
- ソフトウェアやIT製品の脆弱性に関する情報を集約したデータベース[1][2]
- 脆弱性管理、セキュリティ測定、コンプライアンスの自動化を支援[1]
- 一般に公開されており、誰でも自由にアクセス可能[4]
NVDに含まれる主な情報
- CVE (Common Vulnerabilities and Exposures) – 脆弱性の一意の識別子[2][5]
- CVSS (Common Vulnerability Scoring System) – 脆弱性の深刻度評価[2][5]
- CPE (Common Platform Enumeration) – 影響を受ける製品の特定[2]
- CWE (Common Weakness Enumeration) – 脆弱性の種類の分類[5]
NVDの重要性
- セキュリティ対策の重要な情報源として機能[4]
- システム管理者やセキュリティ専門家が脆弱性を特定し対策を講じるのに役立つ[4]
- ソフトウェアベンダーや研究者間での脆弱性情報の共有を促進[4]
最近の動向
- 2024年初頭からCVEのエンリッチメント(詳細情報の追加)に遅延が発生[6]
- NISTは2024年9月末までにNVDを正常な状態に戻す計画を発表[6]
- CISAが「Vulnrichment」プロジェクトを開始し、NVDの遅延によるギャップを埋める取り組みを実施[7]
NVDは、IT社会の安全性維持と向上に欠かせない重要な役割を果たしています[4]。
Citations:
[1] https://nvd.nist.gov
[2] https://e-words.jp/w/NVD.html
[3] https://yamory.io/blog/about-nvd-vulnerability-information
[4] https://xexeq.jp/blogs/media/it-glossary1699
[5] https://www.sompocybersecurity.com/column/glossary/nvd
[6] https://iototsecnews.jp/2024/05/31/nist-says-nvd-will-be-back-on-track-by-september-2024/
[7] https://www.itmedia.co.jp/enterprise/articles/2405/13/news056.html