KEV(Known Exploited Vulnerabilities)カタログの活用
目次
KEVカタログとは
KEV(Known Exploited Vulnerabilities)カタログは、米国 CISA が運営する 実際に攻撃で悪用が確認された脆弱性 のリストです。CISA は Cybersecurity and Infrastructure Security Agency の略称です。2021 年 11 月の開始以降、継続的に更新されています。
CVEデータベースに登録された脆弱性は20万件以上ありますが、KEVカタログに掲載されるのはそのごく一部(2024年時点で約1,100件)です。つまり、KEVに掲載された脆弱性は「理論上の脅威」ではなく「現実の脅威」であることが確認されています。
KEVの掲載基準
KEVカタログに掲載されるためには、以下の3つの基準すべてを満たす必要があります。
1. CVE-IDが割り当てられている
脆弱性に正式なCVE識別子が付与されていること。
2. 実際に悪用されている確証がある
攻撃者がこの脆弱性を実際に利用していることを示す、信頼性の高い証拠が存在すること。単なる概念実証(PoC)の存在だけでは不十分です。
3. 対策が存在する
ベンダーがパッチやワークアラウンドを提供していること。対策が存在しない脆弱性は掲載されません。
KEVカタログの項目
各エントリーには以下の情報が含まれます。
- CVE ID: 脆弱性の識別子
- Vendor/Product: 影響を受ける製品
- Vulnerability Name: 脆弱性の名称
- Date Added: KEVカタログへの追加日
- Due Date: 米国連邦機関の対応期限
- Required Action: 推奨される対応アクション
- Known Ransomware Campaign Use: ランサムウェア攻撃での使用有無
KEVの活用方法
1. パッチ優先順位の最上位に
KEVに掲載された脆弱性が自組織のシステムに存在する場合、無条件で最優先の対応対象とすべきです。これらは「いつか悪用されるかもしれない」ではなく「すでに悪用されている」脆弱性です。
2. SLAの設定
CISAは米国連邦機関に対して、KEV掲載脆弱性への対応期限を設定しています。民間企業もこれを参考に自組織のSLAを定めることが推奨されます。
| 深刻度 | 推奨対応期限 |
|---|---|
| KEV掲載 + Critical | 48時間以内 |
| KEV掲載 + High | 1週間以内 |
| KEV掲載 + Medium以下 | 2週間以内 |
3. サプライチェーンリスク管理
取引先やベンダーに対して、KEV掲載脆弱性への対応状況を確認することで、サプライチェーン全体のリスクを低減できます。
4. 経営報告の根拠
「CISAが悪用を確認した脆弱性が自社システムに○件存在する」という報告は、技術者以外にも伝わりやすく、経営層への説得材料として有効です。
CVSSとEPSSとKEVの関係
| 指標 | 何を測るか | 更新頻度 | 特徴 |
|---|---|---|---|
| CVSS | 技術的深刻度 | 公開時に固定 | 静的、コンテキストなし |
| EPSS | 悪用される確率 | 日次更新 | 予測ベース、動的 |
| KEV | 悪用の事実 | 随時追加 | 確定情報、最も確実 |
これら3つを組み合わせることで、脆弱性の真のリスクを多角的に評価できます。
PentaTrail での KEV 統合
PentaTrail/CTEM は発見した脆弱性を KEV カタログと自動照合します。KEV に掲載された脆弱性が検出されると、脅威ディスカバリレベル(TDL) を 1 段階引き上げる KEV ブースト が働き、TER バンド でも上位(S または A)に押し上げられます。ダッシュボード上では即座にアラートとして表示されます。
KEV ブースト込みの脆弱性管理を試すには 14日間無料で始める。