NVDとは
(データの取り扱い注意点)
NVDとは National Vulnerability Database の略で、NIST(米国国立標準技術研究所)が維持する脆弱性管理データのリポジトリです。
NVDの公式説明では、NVDはSCAPに基づく脆弱性管理データを提供し、ソフトウェアやハードウェアの脆弱性、製品名、影響指標などを含むとされています。
サプライヤー実務で言い換えると、NVDは 「CVE情報をそのまま並べる場所」ではなく、CVEに分析情報を付与して、運用で使いやすくする場所 です。
NVD General Information では、NVDは公開済みCVEに対して、CVSS、CWE、CPE applicability statements などの enrichment(付加分析)を行うと説明しています。
NVDとCVEの違い
ここは最初に分けて理解すると混乱が減ります。
- CVE 脆弱性そのものの識別子(番号)
- NVD そのCVEに、深刻度・脆弱性種別・対象製品情報などを付けて運用しやすくしたデータベース
つまり、CVEが“ラベル”、NVDが“分析つきの辞書”に近いです。
NVD自身も、CVEに対してCVSS、CWE、CPEなどを追加していると説明しています。
何を信じて、何をそのまま信じすぎないか
NVDは非常に便利ですが、そのまま鵜呑みにしすぎないことが大切です。特に注意したいのは次の3点です。
1. CVSSは“深刻度”であって自社の優先度ではない
NVDに付いているCVSSは参考になりますが、実際の優先順位は 対象版数・到達性・前提条件 で変わります。
NVDは分析結果を提供しますが、自社製品での成立条件までは保証しません。
2. CPEは“候補”であって確定ではない
NVD Productsページでは、NVDはCPE 2.3を使って製品識別を行い、CVEには CPE match strings を付与すると説明しています。
ですが、これは突合の入口として非常に有用な一方、自社の構成にそのまま一致することを保証するものではありません。表記差や版数差、実装差分があるため、SBOMや構成表との照合が必要です。
3. NVDの分析結果は後から変わる
NVD General Information では、追加情報が得られるとCVSS、CWE、適用性情報などは変更され得ると明記されています。
つまり、最初に見たNVDの内容が“最終版”とは限りません。監査やOEM照会では、確認日(いつ時点のNVDか) を残しておくと安全です。
実務での使い方
サプライヤー実務では、NVDは次の順番で使うと安定します。
- CVEを特定する
- NVDでCVSS/CWE/CPE/参考リンクを確認する
- SBOMや構成表で自社対象版数を照合する
- 影響あり/なし/調査中に落とす
- 確認日時と根拠を残す
ここで大事なのは、NVDを“結論”にせず、自社判断の材料として使うことです。
APIやデータの取り扱い注意点
NVDはAPIも提供しており、Vulnerability API や CPE API はオフセットページングで大量データを扱う仕組みになっています。開発者向けドキュメントには、CVE API や Change History API、CPE API、Match Criteria API が用意されていることが示されています。
また、NISTの2025年のTechnical Updateでは、旧来の1.1フィードや旧CPE関連ファイルは廃止され、2.0 APIs / 2.0 data feeds への移行が必要 と案内されています。
運用で古いフィード前提の仕組み(自社スクリプトなど)を使っている場合は、ここが見落としポイントです。
NVDの情報をどう読み解き、自社のトリアージ判断基準としてどう落とし込むか整理したい方はご相談ください。
【無料】オンライン相談を予約するFAQ:NVDについて
NISTが維持する脆弱性管理データベースで、CVEに対してCVSS、CWE、CPEなどの分析情報を付けて提供します。
CVEは脆弱性番号、NVDはそのCVEに分析情報を付加したデータベースです。
深刻度の目安としては有用ですが、自社製品の優先度をそのまま決めるものではありません。対象版数や到達性の確認が必要です。
候補の絞り込みには使えますが、最終判断にはSBOMや構成表との照合が必要です。
変わります。NVD自身が、追加情報に応じてCVSSやCPE適用性などが更新され得ると説明しています。