脆弱性対応判断に効果的!KEVの基礎知識
~ Known Exploited Vulnerabilities とは? ~
更新日:2025-01-28
サイバーセキュリティの分野で注目されている「Known Exploited Vulnerabilities(KEV)」という言葉をご存知でしょうか?
これは、セキュリティ対策を強化し、組織や個人の IT 資産を保護するために役立つ非常に重要なリソースです。このブログでは、KEV の基本からその活用方法まで、簡単に解説します。
KEV とは?
KEV とは?
KEV は「Known Exploited Vulnerabilities」の略で、直訳すると「既知の悪用された脆弱性」を指します。具体的には、攻撃者によって実際に悪用されたことが確認されているセキュリティ上の脆弱性のことです。このような脆弱性情報は、セキュリティ対策を講じる上で欠かせない要素です。
KEV カタログとは?
KEV に関する情報を包括的に整理したものが「KEV カタログ」です。米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が公開しているもので、実際に悪用されている脆弱性やその対応策をリスト化した公式なデータベースです。
KEV と KEV カタログの関係
KEV は、攻撃者によって実際に悪用された脆弱性そのものを指します。一方、KEV カタログは、それらの脆弱性を整理し、詳細な情報や改善策を提供する公式なデータベースです。KEV カタログを活用することで、システム管理者やセキュリティ担当者は、優先的に対策を講じるべき脆弱性を把握しやすくなります。このように、KEV はサイバー攻撃に関する根本的な脅威を指し、KEV カタログはその脅威に対応するための重要なツールとして機能しています。
KEV カタログに登録される 3 つの基準
基準その 1 :CVE ID が割り当てられていること
基準その 2 :実際に悪用されていること
基準その 3 :明確な改善策があること
基準の詳細については、以下の原文をご参照ください:
Reducing the Significant Risk of Known Exploited Vulnerabilities
KEV カタログのメリット
- リスク低減
- 効率的な運用
- コンプライアンスの達成
実際に悪用されている脆弱性を特定し、優先的に対策を講じることで、攻撃を未然に防ぐ可能性が高まります。
すべての脆弱性を均等に扱うのではなく、KEV カタログを利用することで「今すぐ対応が必要な脆弱性」にリソースを集中できます。
一部の業界規制や法規制では、実際に悪用された脆弱性への対応が義務付けられています。KEV カタログを使用することで脆弱性を検知した際の、対応効率の向上が期待できます。
KEV カタログの利用方法
CISA が公式サイトで公開している KEV カタログをダウンロードします。
以下のページからダウンロードできます:
Known Exploited Vulnerabilities Catalog
自分のシステムや利用しているソフトウェアと KEV カタログを比較し、該当する脆弱性がないかを確認します。
脆弱性が確認された場合、ベンダーが提供しているパッチやアップデートを適用します。これにより、脆弱性を悪用した攻撃に対応できます。
KEV カタログは定期的に更新されるため、継続的な確認が必要です。自動化ツールや通知サービスを利用することで効率的にモニタリングを行いましょう。
KEV カタログを利用する際の留意点
KEV カタログに登録される脆弱性には先に述べた「3 つの基準」が必要です。そのため、これらの基準に該当しない脆弱性、たとえば悪用がまだ確認されていないものや、現時点で CVE ID が割り当てられていないものなどはカタログに含まれません。このため、KEV カタログだけを頼りにするのではなく、包括的なセキュリティ対策(脆弱性スキャン、システム更新、侵入検知など)を併せて実施する必要があります。
優先順位付けの効率化が可能とはいえ、対応には人的・時間的リソースが必要です。運用体制の整備が重要です。
KEV カタログの内容
執筆時点(2024 年 12 月)の KEV カタログ(CSV 版)をダウンロードし、各項目の内容を一覧にしました。 イメージしやすいように、例として KEV カタログに記載された脆弱性内容も合わせて記載しています。
| パラメータ | 概要 | 例 |
|---|---|---|
| cveID | 脆弱性の識別番号 | CVE-2024-49138 |
| vendorProject | 製品やプロジェクトの名前 | Microsoft |
| product | 製品名 | Windows |
| vulnerabilityName | 脆弱性の名前 | Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability |
| dateAdded | カタログに追加された日付 | 2024/12/10 |
| shortDescription | 脆弱性の概要 | Microsoft Windows Common Log File System (CLFS) driver contains a heap-based buffer overflow vulnerability that allows a local attacker to escalate privileges. |
| requiredAction | 必要な対策 | Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable. |
| dueDate | 対策を実施する期限 | 2024/12/31 |
| knownRansomwareCampaignUse | ランサムウェア活動での使用有無 | Unknown |
| notes | 備考 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49138; https://nvd.nist.gov/vuln/detail/CVE-2024-49138 |
| cwes | CWE 番号 | CWE-122 |
※ 例として記載した脆弱性内容は説明を補助するためのものであり、特定の企業や製品を批判する意図はありません。
まとめ
KEV とKEV カタログは、サイバーセキュリティ対策において非常に有用な情報源です。特に KEV カタログは、現在進行形で悪用されている脆弱性を効率的に把握し、優先的に対策を講じるための強力なツールです。その活用には脆弱性情報の確認や対応のためのリソースが必要ですが、サイバー攻撃の脅威が増大する現代において、その重要性はますます高まっています。
ぜひ KEV の知識と KEV カタログを活用し、効率的なセキュリティ対策を実現しましょう。
また、当社製品である MIRACLE Vul Hammer では、2025 年 2 月にリリース予定のアップデートで KEV カタログに対応します。小規模な PoC を実施し、効果を検証してみてはいかがでしょうか。ご興味のあるかたは、ぜひお問い合わせください!
関連リンク
脆弱性管理ツール「MIRACLE Vul Hammer」
MIRACLE Vul Hammer お問合せフォーム
MIRACLE Vul Hammer について、導入のご相談・ご質問などがありましたら、下記のフォームよりお問い合わせください。
お気軽にご相談ください!
- 機能の詳細を知りたい
- 価格やサポートについて相談したい
- デモを試してみたい
- オンプレ版について
