KEVカタログ(ケイイーブイカタログ)とは | 意味や読み方など丁寧でわかりやすい用語解説

KEVカタログとは、Known Exploited Vulnerabilities Catalogの略称であり、日本語では「既知の悪用された脆弱性カタログ」と訳される。これは、米国のサイバーセキュリティ・社会基盤安全保障庁（CISA）が作成・公開している、実際にサイバー攻撃者によって悪用されていることが確認されたソフトウェアの脆弱性のリストである。ITシステムの世界では日々新たな脆弱性が発見されるが、そのすべてに即座に対応することはリソースの観点から現実的ではない。KEVカタログは、数ある脆弱性の中から、攻撃者に悪用されるという明白なリスクが存在し、組織にとって差し迫った脅威となるものを特定し、優先的に対処すべき脆弱性を明確にすることを目的にしている。したがって、これは単なる脆弱性のリストではなく、サイバーセキュリティ対策における優先順位付けのための極めて実践的なツールとして位置づけられる。

KEVカタログが持つ最大の特徴は、「実際の悪用」という事実に焦点を当てている点にある。一般的に脆弱性の深刻度を評価する指標としてCVSS（Common Vulnerability Scoring System）が広く利用されている。CVSSは、脆弱性が悪用された場合に想定される影響の大きさなどを基に、潜在的な危険度を数値で示すものである。しかし、CVSSスコアが高い脆弱性が必ずしもすぐに悪用されるわけではなく、逆にスコアが中程度であっても、攻撃者にとって悪用が容易で効果的であれば、頻繁に攻撃の対象となることがある。KEVカタログは、この理論上の深刻度と実際の脅威との間のギャップを埋める役割を果たす。カタログに掲載されているということは、その脆弱性が理論上のリスクに留まらず、現実にサイバー攻撃の起点として使われている動かぬ証拠となる。

このカタログは、もともと米国の連邦政府機関に対し、サイバーセキュリティ対策の強化を義務付けるための法的拘束力のある指令（Binding Operational Directive 22-01）に基づいて作成された。この指令により、連邦政府機関はKEVカタログに新たに追加された脆弱性に対して、指定された期限までに対策を完了することが義務付けられている。この「対応期限（Due Date）」がカタログ内に明記されていることも大きな特徴であり、脆弱性の緊急度を客観的に判断する上で重要な情報となる。民間企業にはこの指令の直接的な法的拘束力はないが、多くのセキュリティ専門家や組織が、自組織の脆弱性管理プロセスにおいて、このカタログを重要な参照情報として活用している。

KEVカタログには、各脆弱性に関する具体的な情報が記載されている。主要な項目として、世界共通の脆弱性識別子である「CVE-ID」、脆弱性の名称や関連する製品名、CISAがカタログに追加した日付、脆弱性の概要、そして前述の対応期限が含まれる。これにより、システム管理者は自身が管理するシステムに存在する脆弱性がKEVカタログに含まれているかを確認し、もし含まれていた場合は、他の脆弱性よりも優先してパッチの適用などの修正措置を講じる必要があると判断できる。このように、KEVカタログは日々の脆弱性管理業務において、限られたリソースを最も効果的に配分するための指針を提供する。システムエンジニアを目指す者にとって、このカタログを定期的に確認し、その内容を理解することは、サイバー攻撃の最新動向を把握し、プロアクティブで効果的なセキュリティ対策を実践する上で不可欠なスキルの一つであると言える。