KEV Catalog は Known Exploited Vulnerabilities Catalog の略です。
すでに実際の攻撃で悪用が確認されている脆弱性を、CISA が一覧化したものです。
脆弱性対応で悩みやすいのが「理論上危険なのか、現実に狙われているのか」という差です。
KEV Catalog は、その判断でかなり役立つ一覧です。
まず押さえたいポイント
- 「理論上危険」ではなく、実際に悪用が確認された脆弱性が入る
- 優先的に対応すべき候補を見つけやすい
- 公的な注意喚起としてかなり重い情報
どんな場面で使うか
- 緊急パッチの優先順位付け
- 外部公開機器のリスク確認
- VPN 製品や管理画面の脆弱性対応
- 社内でのエスカレーション判断
どんなふうに理解するとよいか
KEV Catalog は「今まさに現実の攻撃と距離が近い問題を見る一覧」と考えると分かりやすいです。
CVSS の数値だけでは分からない緊急性を、かなり実務寄りに判断しやすくなります。
押さえておきたい注意点
CVSS の点数だけでは優先度が見えにくいときでも、KEV Catalog に入っているかは重要な判断材料になります。
ただし、自社がその製品や条件に当てはまるかは別途確認が必要です。
また、一覧に入っていない脆弱性が安全という意味でもありません。
KEV Catalog は優先判断の強い材料ですが、ベンダー情報や公開範囲、運用状況と合わせて見るのが基本です。
実務で見るポイント
- 外部公開機器から優先して確認する
- ベンダー修正情報とあわせて見る
- 社内の緊急度判断に使う
- 「点数」より「悪用実績あり」という事実を重く見る