CISA 既知の悪用された脆弱性(KEV)カタログ
CISA 既知の悪用された脆弱性(KEV)カタログ とは何ですか?
CISA 既知の悪用された脆弱性(KEV)カタログ実環境で実際に悪用されている信頼性の高い証拠がある CVE をまとめた、米国 CISA が管理するリスト。米国連邦民間機関に対する必須の修正期限が付与され、企業でも優先順位付けのシグナルとして広く利用されている。
CISA 既知の悪用された脆弱性(KEV)カタログは、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が管理するリストで、実環境での能動的な悪用について CISA が信頼できる証拠を有する脆弱性をまとめたものです。KEV は 2021 年 11 月に Binding Operational Directive 22-01 に基づいて開始され、この指令により、掲載された CVE の修正が米国連邦民間行政機関(FCEB)に対して定められた期限内(通常は 2~3 週間)に義務付けられています。各エントリには、CVE、ベンダー/製品、簡単な説明、必要な対応、期限、追加日、そして 2024 年以降は当該脆弱性がランサムウェアキャンペーンで使用されていることが判明しているかを示すフラグが含まれます。
掲載基準は意図的に厳格に設定されています。CVE が追加されるのは、CVE ID が割り当てられ、能動的な悪用に関する信頼できる証拠が存在し(単なる公開の概念実証やスキャン活動ではなく)、ベンダーのパッチなど明確な修正手段が存在する場合に限られます。まさにこの高い基準が KEV を価値あるものにしています。年間に公開される約 40,000 件の CVE を、攻撃者が実際に兵器化するごく一部にまで絞り込むのです。カタログは2024 年末の 1,239 件から 2025 年末には 1,484 件へと増加し(同年に 245 件追加、約 20% の増加)、オペレーティングシステム、ネットワーク機器、VPN、RMM ツール、生産性ソフトウェア、ブラウザ、ICS にまたがっています。PAN-OS の CVE-2024-3400 や Ivanti Connect Secure の連鎖(CVE-2023-46805 + CVE-2024-21887)のような、エッジデバイスを狙う急速に広がるゼロデイは、公開後わずか数日で追加されました。
正式には米国連邦の範囲に限定されているにもかかわらず、KEV は事実上、業界横断的な優先順位付けシグナルとなっています。企業の脆弱性管理プログラムやサイバー保険会社は KEV への掲載を「直ちにパッチを適用すべき」という指標として扱い、ASPM/CSPM プラットフォームは CVSS の深刻度、EPSS(Exploit Prediction Scoring System)の確率、コードの到達可能性とともに KEV のステータスを提示します。機械可読な JSON/CSV フィードを取り込むことで、チームは KEV 掲載製品を実行しているあらゆる資産を自動的にエスカレーションできます。
flowchart TD
A[新しい CVE が公開される] --> B{KEV の 3 基準をすべて満たすか?}
B --> C[CVE ID が割り当て済み]
B --> D[能動的な悪用に関する信頼できる証拠]
B --> E[明確な修正手段が利用可能]
C & D & E -->|すべて満たす| F[KEV Catalog に追加]
B -->|いずれか満たさず 例 PoC のみ| G[追加されない]
F --> H[BOD 22-01: FCEB 期限を設定]
F --> I[企業 + 保険会社は今すぐパッチとして扱う]
F --> J[EPSS + CVSS + 到達可能性を ASPM/CSPM に供給]
style F fill:#27ae60,color:#fff
style G fill:#7f8c8d,color:#fff● 例
- 01
FortiManager の「FortiJump」CVE-2024-47575 は、Mandiant が記事を公開したその日に KEV へ追加される。FCEB 機関には厳格なパッチ適用期限が課される。
- 02
ある企業のパッチ優先順位付けポリシーでは、CVSS・EPSS・資産の重要度にかかわらず、KEV に掲載された CVE はすべて 7 日以内に修正することが義務付けられている。
● よくある質問
CISA 既知の悪用された脆弱性(KEV)カタログ とは何ですか?
実環境で実際に悪用されている信頼性の高い証拠がある CVE をまとめた、米国 CISA が管理するリスト。米国連邦民間機関に対する必須の修正期限が付与され、企業でも優先順位付けのシグナルとして広く利用されている。 サイバーセキュリティの 脆弱性 カテゴリに属します。
CISA 既知の悪用された脆弱性(KEV)カタログ とはどういう意味ですか?
実環境で実際に悪用されている信頼性の高い証拠がある CVE をまとめた、米国 CISA が管理するリスト。米国連邦民間機関に対する必須の修正期限が付与され、企業でも優先順位付けのシグナルとして広く利用されている。
CISA 既知の悪用された脆弱性(KEV)カタログ からどのように防御しますか?
CISA 既知の悪用された脆弱性(KEV)カタログ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
CISA 既知の悪用された脆弱性(KEV)カタログ の別名は何ですか?
一般的な別名: KEV, 既知の悪用された脆弱性。