悪用が確認されている脆弱性とは【用語集詳細】

カテゴリ
用語集 
タグ
セキュリティ対策  サイバー安全保障  用語集  用語集:あ行  用語集:あ  脆弱性 

SOMPO CYBER SECURITY

B!

サイバー脅威インテリジェンスサービスCognyte悪用が確認されている脆弱性Known Eploited Vulnerability、略称:KEV)は、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が運用する脆弱性カタログです。
日本語では「悪用された脆弱性」、「既知の悪用された脆弱性」、「悪用済み脆弱性」とも表記されます。
KEVは、これまでにAPTやサイバー攻撃者が実際に悪用していることが確認された既知の脆弱性をリスト化し、随時アップデートしています。
このカタログへの基本的な登録基準は、CVEが付与されていること、悪用が確認されていること、明確な対応策が存在することです。

連邦政府が発簡した「Binding Operational Directive(BOD)22-01」(拘束力のある運用指示)に基づき、すべての連邦政府文民機関(FCEB)は、KEVカタログの各脆弱性に記載された期限までに、当該脆弱性に対処することが義務付けられています。
またCISAは、拘束力はないものの、すべての機関、自治政府、自治体、民間企業がこのリストに記載された脆弱性に対処することを推奨しています。

悪用が確認されている脆弱性は、2022年11月時点で857件に達しています。
この膨大な件数すべてを同時に管理することは困難であるため、CISAはステークホルダーに特化した脆弱性管理モデルであるSSVCとの併用が望ましいとしています。



関連記事

【サービス概要】サイバーリスクアセスメントサービス

SOMPO CYBER SECURITYでは、セキュリティ対策の第一歩であるリスクの可視化による現状把握、それに続く効果的な対策計画の立案をサポートするサイバーリスクアセスメントサービスを提供しています。サービス内容、評価基準、そして実施効果などを記載したサービス概要資料を用意しました。皆さまの日々のセキュリティ対策にお役立ち頂ければ幸いです。 こんな方におすすめ 自社の対策に不備がないか不安な方...

【採用事例】ヤスハラケミカル株式会社さま ~セキュリティ対策は日々の活動の積み重ね~(10/27)

SOMPO CYBER SECURITYでは、セキュリティ対策の第一歩であるリスクの可視化による現状把握、それに続く効果的な対策計画の立案をサポートするサイバーリスクアセスメントサービスを提供しています。今回は、サイバーリスクアセスメントサービスをはじめとした各種コンサルティングサービスの採用事例として、ヤスハラケミカル株式会社さまにお話をうかがいました。 経済産業省とIPAから発行されているサイ...

【WP】CISOに聞いた! サードパーティにおけるサイバーリスク管理の実態(10/8)

当社は、サプライチェーンリスク評価サービス『Panorays』の国内総代理店です。開発元であるPanorays社が、現役CISO(最高情報セキュリティ責任者)200人を対象に、サードパーティにおけるサイバーリスク管理に関するアンケート調査を実施し、その結果と結果から見えてきた洞察をレポートにまとめています。委託先やグループ会社、関連子会社を含むサードパーティの管理において、彼らが抱えている課題や使...

【2025/9/10開催】「気づいていない脅威が最大のリスクになる」~国産マネージドASMと脅威インテリジェンスで実現する攻撃面の可視化と継続管理~

イベントお申し込み セミナー概要 デジタル化が進み、利便性が高まる一方で、クラウドの普及やシャドーITの増加により、企業が保有しているインターネットに晒された資産の把握が不完全なケースが増えています。 また、ランサムウェア感染の多くは外部公開資産の脆弱性に起因していることもあり、対策が急務となっていますが、そのためのリソースやノウハウが不足していたり、ASMツールの自動検出の精度が完全でなかったり...