// シス担のミカタ
脆弱性管理

KEV(既知の悪用済み脆弱性カタログ) けーいーぶい

脆弱性管理CISACVEパッチ管理リスク管理サイバーセキュリティ
KEVって何?

簡単に言うとこんな感じ!

KEVは「実際にハッカーが攻撃に使っている脆弱性のリスト」だよ!アメリカの政府機関CISAが公開していて、「この穴は今まさに悪用されているから今すぐ塞いで!」っていう緊急度の高いリストなんだ。山ほどある脆弱性の中から「本当にヤバいもの」だけを絞り込んでくれているってこと!

KEVとは

KEV(Known Exploited Vulnerabilities) とは、アメリカの政府機関である CISA(Cybersecurity and Infrastructure Security Agency/サイバーセキュリティ・インフラセキュリティ庁) が公開している「実際にサイバー攻撃で悪用が確認された脆弱性のカタログ」のことです。正式名称は “CISA Known Exploited Vulnerabilities Catalog” といい、2021年11月に運用が開始されました。

毎年何万件もの脆弱性(セキュリティ上の欠陥)が報告されていますが、そのすべてに即座に対応するのは現実的ではありません。KEVはその中から「既に攻撃者に悪用されている=放置すれば確実に被害につながるリスクがある」ものだけを厳選してリストアップしているため、優先してパッチ(修正プログラム)を当てるべき脆弱性の判断基準として世界中で広く利用されています。

アメリカ連邦政府機関に対しては「KEVに掲載された脆弱性は指定期限内に必ず修正すること」という拘束力ある指令が出されていますが、民間企業にとっても「今すぐ対応すべき脆弱性」を特定するための実務的な指針として活用されています。

KEVの構造とルール

KEVカタログの各エントリには、以下の情報が記載されています。

フィールド内容
CVE ID脆弱性の識別番号CVE-2021-44228
ベンダー影響を受ける製品のメーカーApache
製品名影響を受ける製品名Log4j
脆弱性名脆弱性の通称Log4Shell RCE Vulnerability
修正期限対応すべき期限(連邦機関向け)2021-12-24
必要な対応推奨される対応内容パッチ適用・バージョンアップ等

KEVに掲載される3つの条件

CISAがKEVに脆弱性を追加するには、以下の3条件をすべて満たす必要があります。

  1. CVE IDが割り当てられている — 公式に識別・登録された脆弱性であること
  2. 積極的な悪用の証拠がある — 実際の攻撃に使用されていることが確認されていること
  3. 対応ガイダンスが存在する — ベンダーからパッチやワークアラウンドが提供されていること

数字で見るKEV

  • 掲載件数:約1,200件以上(2025年時点・随時更新)
  • 全CVEのうちKEVに掲載されるのは 約2〜4% にすぎない
  • 更新頻度:週数回のペースで新規追加・更新

歴史と背景

  • 2021年11月 — CISAが「Binding Operational Directive (BOD) 22-01」を発令し、KEVカタログの運用を開始。米連邦機関に対してKEV掲載脆弱性の修正を義務化
  • 2022年〜 — Log4Shell(CVE-2021-44228)など重大脆弱性が次々追加され、民間企業・セキュリティベンダーにも広く認知される
  • 2023年 — NISTのNVD(National Vulnerability Database)やVEX(脆弱性悪用可能性交換)との連携が強化。サプライチェーンセキュリティの文脈でも参照されるように
  • 2024年〜 — 各国のサイバーセキュリティ機関(日本のIPAや欧州のENISAなど)もKEVを脆弱性管理の参考指標として取り上げ始め、国際的な標準参照リストとしての地位が確立

CVE・NVDとの違い

脆弱性管理に登場する似たような用語を整理しましょう。

脆弱性データベースの関係図 CVE(Common Vulnerabilities and Exposures) すべての公開済み脆弱性に一意のID(CVE-YYYY-NNNNN)を付与するリスト 運営: MITRE Corporation / 件数: 年間2万件以上 NVD(National Vulnerability Database) CVEに深刻度スコア(CVSS)・影響範囲などの詳細情報を付加したDB 運営: NIST(米国標準技術研究所)/ CVEを網羅的に収録 KEV(Known Exploited Vulnerabilities) CVEの中から「実際に攻撃で悪用済み」のものだけを厳選したカタログ 運営: CISA / 件数: 約1,200件(全CVEの約2〜4%)→ 最優先対応リスト

CVSSスコアとKEVの違い

よく「CVSSスコアが高い脆弱性を優先的に修正すればいい」と思われがちですが、KEVの考え方は少し違います。

観点CVSSスコアKEV
評価軸脆弱性の深刻度・影響範囲(理論値)実際に攻撃が観測されたか(実績)
スコアが高い=危険?必ずしもそうではない掲載されている=今まさに使われている
偽陽性リスク高い(実害がなくても高スコアになりうる)低い(実際の悪用が確認された事実ベース)
推奨用途脆弱性の一般的なリスク評価緊急パッチ適用の優先度決定

たとえばCVSSスコアが10(最高)の脆弱性でも実際に悪用されていなければKEVには載りません。一方でCVSSスコアが中程度(6〜7)でも、攻撃ツールに組み込まれて広く悪用されていればKEVに掲載されます。

関連する規格・RFC

規格・文書内容
CISA BOD 22-01KEVカタログへの対応を米連邦機関に義務化した拘束力ある指令
NISTIR 7435CVE命名スキームの解説(NISTによる参考文書)

関連用語

  • CVE — 脆弱性に一意のIDを割り当てる共通識別番号の仕組み
  • CVSS — 脆弱性の深刻度を数値化する共通脆弱性評価システム
  • NVD — CVEに詳細情報・CVSSスコアを付加した米国の脆弱性データベース
  • パッチ管理 — ソフトウェアの修正プログラムを計画的に適用・管理するプロセス
  • CISA — アメリカのサイバーセキュリティ・インフラセキュリティ庁
  • 脆弱性スキャン — システムの脆弱性を自動的に検出するセキュリティ診断手法
  • ゼロデイ脆弱性 — 修正パッチが存在しない状態で悪用される脆弱性
  • SSVC — 脆弱性対応の優先度を組織の文脈に応じて決定するフレームワーク