KEVリストは有用だが、概ね誤解されている。KEVologyはそれが何であり、どう使うのが最適かを説明する。
CISAのKEVカタログ(より一般にはKEVリストとして知られる)は、2021年11月にBOD 22-01が発出されたことで登場した。このカタログは現在、実環境で悪用されたことが知られている1,500件強の脆弱性のリストであり、業界における脆弱性修正の優先順位付けにとって価値の高い情報源になり得る。なり得るが、自動的にそうなるわけではない。制約は2つある。範囲と詳細だ。
企業のサイバーセキュリティはCISAの役割ではない。CISAの任務はFCEB機関のセキュリティを引き上げることであり、KEVは、緊急(すでに悪用されている)かつ修正可能(基本的にベンダーパッチがある)な脆弱性をFCEB機関に通知するものだ。
こうした必須要件を含むリストをキュレーションするには厳格な条件セットが必要で、その結果、含まれる脆弱性よりも除外される脆弱性のほうが必然的に多くなる。これが範囲の制約だ。2つ目の制約は、各KEVエントリの詳細が乏しく、修正の優先順位を付けるのが難しいことだ。
runZeroのセキュリティリサーチ担当VP(以前はCISAのKEVセクション責任者)であるTod Beardsleyは、『KEVology』というシンプルな題名の論文を書いた。これは、セキュリティチームがKEVを理解し、最適に活用する方法を学べるように設計されている。
BeardsleyはCISAのKEVと自身のKEVology論文についてSecurityWeekに説明した。「KEVに掲載されるには」と彼は言う、「BOD 22-01で定義された4つの性質を脆弱性が備えていなければならない。第一に、CVE番号が必要だ。つまり、出たばかりの超最新ゼロデイはKEVに入らない」
サポート終了(EOL)のオペレーティングシステムも同様に対象外になる。企業はまだそれらを使っているが、誰もそれらのためにCVEを作成しない。「誰も知らない、あるいは気にしない脆弱性が、静かに蓄積していく可能性がある」と彼は付け加えた。「それを知ることが仕事である国家アクターを除けば。そうした脆弱性は、古いOSを調査する余力のあるインテリジェンス運用者に好まれるが、そうしたものがKEVに載ることは決してない」。たとえ悪用されていると分かっていてもだ。
2つ目の要件は、と彼は続けて述べたが、「悪用されていること。つまり、10年前から知られている脆弱性でも、CISAが悪用の事実を把握していなければ、掲載されない」。ここで重要なのは、実際に悪用されているかどうかではなく、CISAがそれが悪用されていることを認識しているかどうかだ。
3つ目は、と彼は続けたが、パッチの有無だ。「例えばベンダーが『いや、それはバグではなく仕様だ』と言ってパッチ提供を拒否するとする。一方でMetasploitやNucleiが実環境で使われるエクスプロイトを公開したとしても、その悪用されている脆弱性は、ベンダーパッチがないため掲載されない」。
4つ目は、と彼は続けたが、「米国連邦の利益に関連していること」だ。ゲームには、より広いビジネス環境への攻撃の足掛かりになり得る問題が数多く存在する。「しかし、それらがKEVに載ることはない。連邦政府はゲームを気にしないからだ」。2022年、ハッカーはDark Souls経由のRCEエクスプロイトを用い、Bandai Namcoにネットワークの停止を余儀なくさせた。
逆に、より広いビジネス環境にとってはほとんど関心のないエントリもある。例えばCVE-2021-44207は含まれているが、Beardsleyは「州に雇用された獣医ケア提供者でもない限り、たぶんそれほど心配する必要はない」と述べた。
興味深いことに、サポート終了OSに言及しているわけではないが、CISAの最新のBOD(26-02、2026年2月5日発出)は、FCEB機関に対し「サポート終了のエッジデバイス」を廃止して置き換えることを求めている。少なくとも一つの意味では、これはカタログの対象範囲を広げるものと見なせる。というのも、この要件は、悪用された脆弱性があるかどうか、パッチが存在するかどうかに関わらず、サポート終了のエッジに関するすべての脆弱性に影響するからだ。
おそらくKEVの最大の問題は、逼迫した企業のセキュリティチームが、その制約を必ずしも理解しないまま、当然のようにKEVに注目してしまうことだ。「政府がそう言ったのだから、これが自分が修正しなければならないヒットリストだ」と。
Beardsleyは論文の中で、その価値と重要性を損なうことなくこう書いている。「それは目的ではない」。目的は、FCEB機関に対して何をパッチすべきかを示すことだ。彼の論文は、このシグナルをより広いサイバーセキュリティ業界にも関連する形へと拡張する。「KEVologyは、現実世界の制約の下でサイバーセキュリティ実務者が説明可能な優先順位付けの意思決定を行えるよう支援することを目的に、KEVを運用上のシグナルとして検討する」。
この優先順位付けを支援するため、論文は「CVSS、EPSS、SSVCといった一般的に用いられるエンリッチメントシグナルに加え、公開エクスプロイトツール、MITRE ATT&CKのマッピング、時系列の関係性といった比較的珍しいシグナルまで幅広く評価し、単一の指標だけでは不十分であることを強調する。むしろ、KEVが規模、範囲、技術的多様性の面で拡大し続ける中で、不確実性、労力、緊急性について推論するために、多様で不完全なシグナルを組み合わせることで価値が生まれる」としている。
セキュリティチームにとっての魅力は明白だ。30万件を超えるCVEの全リストに取り組むよりも、1,500件のKEVエントリと、新たに追加されるものに対処するほうがはるかに容易である。KEVology論文が提供しようとしているのは、KEVの利用を容易にし、最大化するためのエンリッチメント手法だ。
この論文に合わせて、Beardsley自身のKEV ColliderウェブアプリもrunZero上で公開された。「基本的には論文をインタラクティブにしたものです」と彼は説明した。「Colliderに『今日は、こうしたCVSS特性を持つKEV脆弱性だけを気にする』と伝えられます。もちろん複数の特性でフィルタできます。つまり、EPSS(エクスプロイト予測スコアリングシステム)スコアが0.50以上(今後30日以内にこの脆弱性がどこかで悪用される確率が50%)の『リモート』でフィルタしたり、MetasploitモジュールやNucleiテンプレートが存在するものを対象にしたりできます」。
これにより、CISAの推奨を組織独自のセキュリティ優先事項に合わせるためのKEVデータの即時エンリッチメントが提供され、セキュリティチームに対して、KEVのエントリをどのように優先すべきか、あるいは無視すべきかを迅速に示す。
KEVology論文から生まれたKEV Colliderは、CISAのKEVカタログの利用と価値を最大化し、合理化する一方で、追加の利点ももたらす。CISAのFCEB向け修正指示を理解し優先順位付けすることだけに費やしていた時間を節約でき、その分、企業のセキュリティチームは別の問題――危険に見えるがKEVには決して載らない脆弱性――に目を向けられるようになる。
