本ページは、CISA Known Exploited Vulnerabilities (KEV) カタログに関するページです。

１.　概要

アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁（略称:CISA）が実際に悪用された脆弱性情報の一覧を公開しています。
下記の内容を参考に脆弱性の優先順位付けに活用しましょう。

２.　現状の脆弱性管理CVSS適用への課題（トリアージ）への対策

CISA Known Exploited Vulnerabilities (KEV) カタログは、CISAが公開している既知の悪用が観測された脆弱性の一覧になっています。
CISA KEVカタログには対応期日が設定されており、米国政府機関は期日までに対応が求められます (BOD 22-01)

CISA KEVカタログに掲載される脆弱性の基準として以下の3つがあります。
①　CVE IDが割り当てられている脆弱性
②　実際に悪用されている脆弱性
③　明確な是正ガイダンスが提供されている脆弱性
既知の悪用された脆弱性カタログ（日本語版）
https://kev.kokumoto.com/

◇KEVの具体的な利用方法としてSSVC (Stakeholder-Specific Vulnerability Categorization) 脆弱性管理における優先順位付けフレームワークの入力情報として利用することが推奨されています（CISA）。

＜SSVCとは＞
SSVCはリスクベースの脆弱性管理・優先順位付けのフレームワークです。
SSVCは、Exploitation（脆弱性の悪用状況）、Exposure（システムの公開範囲）、Utility（攻撃の有用性）、Human Impact（攻撃によるインパクト）を元に脆弱性へのアクション (Immediate, Out-of-Cycle, Scheduled, Defer) が決定されます。

◇CVSSの課題とSSVC
現状のCVSS脆弱性スコアリングシステムを使用した場合、個々の脆弱性対策の優先度判断は中小企業にとっては負荷が大きく困難な状態になっています。
その対策としてSSVC利用した場合、有効性としてその脆弱性に対してどのような優先度で対応するのかというアクションが出力され脆弱性対策ついて中小企業の適用判断に利用できます。

CVSS(Common Vulnerability Scoring System)とはシステムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標です。 ベンダに依存しない中立的な基準とスコアリング方法により、定量的に脆弱性の深刻度を表現しています。

CVSS深刻度スコア

３.　出典

CISA Known Exploited Vulnerabilities (KEV)
https://www.cisa.gov/known-exploited-vulnerabilities

関連リンク

• CISA Known Exploited Vulnerabilities (KEV)
• 全般的な脅威と対策は ⇒ ガイドブック「中小企業向けサイバーセキュリティ対策の極意ポータルサイト」