「脆弱性が多すぎて、どれから対応すればいいかわからない」。CVSSスコアの高い順に片っ端から対処しようとしても、日々公開される脆弱性の数を前にすると、現実には手が回らないのではないでしょうか。
そうした優先度判断の悩みに対して、有力な判断材料になるのがCISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)が公開するKEVカタログです。これは「実際に攻撃者に悪用された脆弱性」だけを収録した公式リストで、CVSSとは異なる「悪用の事実」という切り口から、いま本当に危ない脆弱性を絞り込めます。KEVカタログの仕組みとCVSSとの使い分け、そして実際の脆弱性対応フローへの組み込み方を押さえておけば、限られたリソースでも対応の判断軸がぐっと明確になります。
KEV(Known Exploited Vulnerabilities)は、直訳すると「既知の悪用された脆弱性」。攻撃者が実際にサイバー攻撃で利用したことが確認されている脆弱性を指します。そしてKEVカタログは、CISAがそのKEVを一覧化して公開している公式データベースです。以降、本記事では「KEVカタログ」に表現を統一して解説を進めます。
もともとは2021年11月に発令されたBOD 22-01(拘束力のある運用指令)により、米国の連邦文民行政機関(FCEB)に対してKEVカタログ掲載の脆弱性への対応が義務付けられたことが始まりです。日本企業に対する法的拘束力はありませんが、CISAは官民問わずすべての組織にKEVカタログの活用を推奨しています。「いま実際に狙われている脆弱性」を把握できるリストとして、脆弱性対応の優先度判断に役立つ指標です。
※参考:CISA|Known Exploited Vulnerabilities Catalog
※参考:CISA|BOD 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities
では、どんな脆弱性がこのカタログに載るのでしょうか。登録には以下の3条件をすべて満たす必要があります。
| 条件 | 内容 |
|---|---|
| ①CVE IDが割り当て済み | 共通脆弱性識別子(CVE)が付与されていること |
| ②実際に悪用が観測されている | 攻撃の試みや成功がCISAに確認されていること。PoC公開やスキャン行為だけでは対象外 |
| ③明確な是正ガイダンスがある | ベンダーからパッチ・緩和策・回避策が公開されていること |
とくに注目すべきは②の条件です。「悪用される可能性が高い」かどうかではなく、「実際に悪用されたか」という事実ベースで判定されます。つまりKEVカタログに載っている脆弱性は、すでに攻撃が現実に起きているものばかり。対応の緊急度が高い脆弱性を見極めるうえで、この厳格さが信頼の根拠になっています。
※参考:CISA|Reducing the Significant Risk of Known Exploited Vulnerabilities
KEVカタログの話をすると「CVSSとどう違うのか」「CVSSだけではダメなのか」という疑問が出てくるのではないでしょうか。結論から言えば、両者は見ている角度がまったく異なるため、どちらかで代用するものではなく、併用するのが基本です。
そもそもCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)は、脆弱性そのものの技術的な深刻度を0.0〜10.0のスコアで表す指標です。攻撃の難易度や影響範囲をもとにスコアを算出しますが、「その脆弱性が実際に攻撃に使われているかどうか」は評価の対象に含まれていません。
一方、KEVカタログは「悪用された事実があるか」だけに着目したリストです。CVSSスコアが中程度であっても、複数の脆弱性を組み合わせる連鎖攻撃(chaining attack)で悪用されるケースがあり、そうした脆弱性もKEVカタログには収録されます。
| 比較項目 | CVSS | KEVカタログ |
|---|---|---|
| 評価の観点 | 脆弱性の技術的な深刻度 | 実際に悪用された事実の有無 |
| 出力形式 | 0.0〜10.0のスコア+深刻度レベル | 該当脆弱性のリスト(対策期限付き) |
| 運営元 | FIRST(国際的なCSIRTフォーラム) | CISA(米国政府機関) |
| カバー範囲 | CVE IDを持つ全脆弱性が対象 | 3条件を満たす脆弱性のみ |
| 日本企業への拘束力 | なし(業界標準として広く利用) | なし(米国FCEB機関のみ義務) |
ここで注意したいのは、どちらか一方だけに頼ることのリスクです。「CVSS High以上だけ対応」というポリシーでは、スコアが中程度でも実際に悪用されているKEV登録脆弱性を見逃す恐れがあります。逆に、KEVカタログだけを見ていると、まだ悪用は確認されていないものの技術的に深刻な脆弱性への備えが後手に回ります。CVSSで全体のリスクを俯瞰しつつ、KEVカタログで「いま狙われている脆弱性」を重点的に押さえる。この併用が、実務的なバランスのとれた運用につながります。
なお、こうしたCVSSの課題を踏まえて、近年はSSVC(Stakeholder-Specific Vulnerability Categorization)という意思決定フレームワークも注目されています。SSVCは脆弱性の悪用状況やシステムの公開度合いなどを決定木で評価し、「Act(即時対応)」「Attend(通常より早めの対応)」「Track*(注視継続)」「Track(通常通り経過観察)」の4段階のアクションを導き出す手法です。CISAもSSVCの活用を推奨しており、KEVカタログの情報はSSVCの入力要素としても位置づけられています。CVSSスコアだけで判断が難しいと感じている場合は、SSVCの導入も選択肢に入れておくとよいでしょう。
※参考:IPA|共通脆弱性評価システムCVSS v3概説
※参考:CISA|Reducing the Significant Risk of Known Exploited Vulnerabilities
KEVカタログの仕組みとCVSSとの違いがわかったところで、次に気になるのは「実際の脆弱性診断や管理業務にどう組み込むか」ではないでしょうか。ポイントは大きく2つあります。
KEVカタログの情報を確認する方法は複数あり、用途に応じて使い分けるのが効率的です。
| 方法 | 概要 | 適するケース |
|---|---|---|
| CISA公式サイトで閲覧 | Web画面上で脆弱性を検索・フィルタリングできる | 特定のCVE IDを手早く確認したいとき |
| CSV/JSON形式でダウンロード | ファイルとして取得し、資産台帳やスクリプトと突き合わせられる | 資産管理ツールとの連携や定期的な突合を行いたいとき |
| メール通知に登録(Subscribe) | KEVカタログの更新があるたびにメールで通知が届く | 見逃しを防ぎたいが、手間はかけたくないとき |
| 脆弱性管理ツールのKEV対応機能 | KEVカタログと連携し、該当脆弱性を自動でフラグ付けしてくれるツールがある | 照合・通知を含めて運用を自動化したいとき |
少数の脆弱性を都度チェックするだけならCISA公式サイトの閲覧で十分ですが、組織として継続的にモニタリングする場合はダウンロードや通知登録を組み合わせるのが現実的でしょう。
※参考:CISA|Known Exploited Vulnerabilities Catalog
KEVカタログを入手できたら、次は既存の脆弱性対応フローへの組み込みです。
利用中のソフトウェア、ライブラリ、OSのバージョン情報を一覧化しておきます。SBOM(Software Bill of Materials)を整備している組織であれば、その情報をそのまま活用できます。
棚卸した資産情報とKEVカタログを突き合わせ、該当する脆弱性がないかを確認します。KEVカタログの更新は不定期のため、メール通知(Subscribe)を起点にするのが基本です。加えて週次でCSVをダウンロードし、前回との差分を確認する運用を併用すると、通知の見逃しも補えます。
該当があればベンダー提供のパッチを適用します。パッチ適用が難しい場合は、設定変更などの緩和策・回避策を講じましょう。なお、KEVカタログにはDue Date(対策期限)が設定されています。これは米国連邦機関向けの期限ですが、自社の対応スピードの目安として参考にできます。
「なぜこの脆弱性に対応した(あるいは対応を見送った)のか」という判断根拠を記録に残しておくことが重要です。後日、監査対応やインシデント発生時の振り返りで役立ちます。KEVカタログの「ランサムウェアでの利用有無」フラグも記録に含めておくと、経営層への報告時にリスクの切迫感を伝える根拠になります。
すでに高度な脆弱性管理体制がある組織であれば、KEVカタログは既存のトリアージに追加する情報ソースとして位置づけられます。一方、これから脆弱性対応の仕組みを整えたいという組織は、まずKEVカタログに該当する脆弱性から優先的に対処し、そこを起点に管理の範囲を広げていくのが現実的な進め方です。
KEVカタログは脆弱性対応の優先度判断に有効なツールですが、万能ではありません。活用にあたっては、いくつかの限界を理解しておく必要があります。
まず、KEVカタログはすべての危険な脆弱性を網羅しているわけではないという点。
先述の3条件(CVE ID・悪用の事実・是正ガイダンス)をすべて満たさなければ登録されないため、まだ悪用が確認されていない脆弱性や、CVE IDが採番されていないゼロデイ脆弱性はカタログに含まれません。KEVカタログだけを頼りに「載っていないから安全」と判断するのは危険です。
加えて、KEVカタログは米国連邦機関向けに作られた基準であり、日本固有のガイドラインや規制をカバーするものではありません。経済産業省のASM導入ガイダンスやIPAの注意喚起情報、JPCERT/CCのアラートなど、国内の情報源とあわせて活用することで、より網羅的な対応が可能になります。
参考までに、KEVカタログの各エントリには以下のような情報が記載されています。
| 項目 | 内容 |
|---|---|
| CVE ID | 脆弱性の識別番号 |
| ベンダー/製品名 | 影響を受けるソフトウェアの開発元と製品 |
| 脆弱性の概要 | 脆弱性の内容を簡潔に説明した英文テキスト |
| 対策アクション | ベンダーの指示に従いパッチ適用、または製品の利用停止 |
| 対策期限(Due Date) | 米国連邦機関向けの対応期限。CVE IDが2021年以降に採番された脆弱性は2週間以内、2021年以前に採番された脆弱性は6ヶ月以内が原則 |
| ランサムウェアでの利用有無 | ランサムウェアキャンペーンで使われた実績があるかどうか |
この情報があれば、自社のソフトウェア資産との突き合わせや、対応の緊急度判断を効率よく行えます。とくに「ランサムウェアでの利用有無」は、経営層への報告時にリスクの切迫感を伝える材料として役立つ場面が多いでしょう。
もう一つ見落としがちなのが、対応リソースの確保です。KEVカタログで優先すべき脆弱性を絞り込めたとしても、パッチの検証・適用、緩和策の実施には人的・時間的な工数がかかります。とくに、レガシーシステムやカスタマイズ済みの環境では「パッチを当てたくても当てられない」状況が発生しがちです。そうした場合にはWAFや仮想パッチで一時的にリスクを低減しつつ、根本対策は次期システム更改で対応する、といった段階的なアプローチが求められることもあります。
KEVカタログはあくまで優先度判断を助ける情報源の一つ。脆弱性診断ツールによる定期スキャンや、専門家による手動診断と組み合わせることで、はじめて包括的な脆弱性対策が成り立ちます。
※参考:CISA|Known Exploited Vulnerabilities Catalog
KEVカタログは、CISAが「実際に攻撃者に悪用された脆弱性」だけを収録した公式リストです。CVSSが脆弱性の技術的な深刻度を評価するのに対し、KEVカタログは「悪用の事実」という別の角度から優先度を示してくれます。どちらか一方で完結するものではなく、CVSSで全体を俯瞰しながらKEVカタログで緊急度の高い脆弱性を重点的に押さえる併用が、リソースの限られた現場でのリスク低減に効果的です。
KEVカタログを自社の脆弱性対応フローに取り入れるにあたっては、まず資産の棚卸しと定期照合の仕組みを整え、脆弱性診断やIPAの注意喚起情報など複数の情報源と組み合わせて運用することが重要です。
ただし、KEVカタログを起点とした脆弱性管理の運用設計は、自社のリソースだけで進めるのが難しい場面も多いものです。ユービーセキュアでは、脆弱性管理ツールを活用した運用支援や、専門家による脆弱性診断サービスを提供しています。「自社の脆弱性対応をKEVカタログベースで見直したい」という方は、無料相談からお気軽にご相談ください。