—·
全てのコンテンツはAIによって生成されており、誤りが含まれる可能性があります。ご自身でご確認ください。
CISA KEVは単なるリストではありません。IT、OT、自動化レイヤーにおいて、トリアージ、責任の明確化、優先順位付け、代替制御を確実に実行するためのワークフローを解説します。
脆弱性管理に携わる方なら、その特有のサイクルを熟知しているはずです。スキャナーが大量のフィードを生成し、チケットが積み上がり、実際にリスクが軽減されたことを証明できるまでに数週間が経過する――。CISA(米国サイバーセキュリティ・インフラセキュリティ庁)の「既知の悪用された脆弱性(KEV)カタログ」は、こうした労力を「真に重要な課題」へと引き戻すために設計されました。CISAが実際に悪用されていると判断した脆弱性を特定し、新たな証拠に基づき随時更新されています。(Source)
しかし、単に「注力する」ことと「実行を強制する」ことは別物です。KEVが「運用の契約」として機能するためには、トリアージの優先順位、所有権のルール、パッチ適用の優先順位付け、代替制御、変更管理のタイミングといった、実際の行動を促すシステムに組み込まれる必要があります。特に、脆弱なシステムがITとOT(制御技術:物理的なプロセスを制御・監視するシステム)の両方にまたがる場合や、サードパーティ製ツールや自動化レイヤーが介在する場合、多くの企業がその対応に苦慮しています。
カタログの更新自体が、ワークフローの欠陥を露呈させることもあります。例えば2025年7月、CISAはKEVカタログに4つの新たな脆弱性を追加しました。(Source)。ここで問われる運用上の課題はシンプルです。貴組織は「KEVへの追加」を、(1)測定可能なトリアージのアクション、および(2)期限を定めたパッチ適用または代替制御の実施判断へと即座に変換できたでしょうか。
本質的に、KEVは技術的なタスクを装った「ガバナンス」の問題です。どのチームがどの資産に対して責任を持つのか、あるいはパッチ適用が遅れる場合にどの代替制御が許容されるのかを数時間以内に回答できないのであれば、それは脆弱性管理を行っているとは言えません。単にステータスレポートを作成しているに過ぎないのです。
CISA KEVを、強制力のあるステータス管理を備えた脆弱性管理ワークフローへの「入力データ」として扱ってください。ワークフローとは、明確な責任者、期限、そして対応を完了させるための「終了基準」を備えた一連の意思決定ポイントを指します。これこそが、KEVを運用可能なものにする鍵です。
まず、KEVの性質を正しく理解しましょう。CISAが管理するこのカタログは、一般的な「セキュリティのベストプラクティス」のリストではありません。CISAが「実際に悪用されている」と評価した脆弱性に特化したものです。(Source)。システムはこのカタログを取り込み、製品、バージョン、環境、露出経路に基づいて、各KEV項目を自社のインベントリ(資産目録)にマッピングする必要があります。
このマッピングにおいて、以下の「契約的振る舞い」を公式化します。
これは、CISAがゼロトラスト成熟度モデルで示している「防御の成熟度」の考え方と一致します。成熟度とは単に「ツールを所有していること」ではなく、「規律ある実施と検証を通じてリスクを低減すること」を指します。(Source)。KEVへの対応は、ゼロトラストの理念が運用上の現実となっているかどうかを測る真のテストとなります。
結論として: KEVが単なるダッシュボード上の数字であっては意味がありません。各KEV項目に対してステートマシン(状態遷移モデル)を構築してください。検知後、同一営業日内にトリアージの責任を明確にし、定義されたリズムで意思決定(パッチ適用か代替制御か)を行い、すべての受容されたリスクに期限を設定することが不可欠です。
「拘束力のある運用指令(Binding Operational Directive 22-01)」は、KEVの義務を運用成果に結びつけるための政策的な拠り所です。実務上、ワークフローは「何が行われ、いつ行われ、なぜ残存リスクが許容されたのか」を実証できなければなりません。
CISAのKEVカタログが「シグナル」であるならば、BOD 22-01は「期待値」です。ギャップ分析においては、単なるパッチ適用率を確認するだけでなく、運用上の意思決定と一致する監査証跡を作成できるかどうかをテストすべきです。例えば、「資産XでKEV脆弱性Yが日付Zに検知され、責任者が時刻Tに割り当てられ、修正方針が時刻Uに決定し、代替制御が時刻Vまでに実施され、時刻Wに検証が完了した」といった記録です。
企業の統制フレームワークは、プロセスの説明ではなく、成果の検証可能性によって評価されます。NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF)2.0では、ガバナンスと、特定、防御、検知、対応、復旧の各機能における測定可能な成果が強調されています。(Source)。KEVを孤立した「脆弱性対応タスク」として扱っている限り、このガバナンスの論理を満たすことはできません。
運用の不一致は、以下のような典型的な失敗パターンとしてすぐに現れます。
NISTによるセキュリティ管理策の改訂と現代化に関する取り組みは、統制システムが運用のニーズや新たなリスクパターンを反映して進化すべきであることを再確認させてくれます。重要なのは、統制のマッピングは一度限りのコンプライアンス対応ではなく、定期的な再調整が必要だということです。(Source)
結論として: BODの期待値を反映した「KEV意思決定レコード」の形式(検知証拠、資産マッピング、責任者、修正方針、代替制御の詳細、検証時期)を採用してください。そして、その形式をチケットシステムに埋め込み、すべてのKEV項目が単なる「活動」ではなく「証明」を生み出すようにしてください。
実効性のあるワークフローは、信頼できるインベントリマップから始まり、検証済みの完了で終わります。インベントリマップは、KEVの記述(影響を受ける製品と脆弱性)と、組織がリスクを測定する方法(ホスト、サービス、設定、アイデンティティ経路)を繋ぐ架け橋です。
CISAがKEVに項目を追加した際(2025年7月の4つの脆弱性追加など)は、それを強制的な「再評価イベント」として扱ってください。(Source)。スキャナーと資産インベントリから情報を引き出し、該当するソフトウェアとバージョンを特定します。その際、単に「存在するかどうか」だけでなく、露出状況や重要度に基づいて、どの資産が真に「対象範囲内」にあるかを判断します。
検知の信頼性を明確にすることも重要です。脆弱なコードパスが実際に存在するか(例:影響を受けるコンポーネントが有効化されているか)を検証できなければ、パッチ適用の優先順位を誤り、真に緊急を要する作業を阻害することになります。
優先順位付けはCVSSスコアに頼りがちですが、KEVはこの論理を塗り替えます。「悪用されているかどうか」というステータスが、リスク計算の前提を変えるからです。まずKEVのステータスを最優先し、その上で資産のビジネス重要度と露出状況を加味してください。
パッチ適用が迅速に行えない場合、代替制御によってリスクを低減します。これらは「テスト可能」でなければならず、ワークフローには各代替制御のタイプに応じた「検証」の定義を含める必要があります。
NIST CSF 2.0は、活動を成果に結びつけるための構造を提供しており、これはまさにKEVワークフローが求めているものです。(Source)。また、NISTのサイバーセキュリティ・ワークフォース関連文書などは、組織がツールの出力だけに頼るのではなく、役割とプロセスを明確に定義すべきであることを支持しています。(Source)
結論として: KEV主導のトリアージを、年次のプログラムレビューではなく、ワークフロー上のイベントとして実装してください。KEVへの追加があるたびに、再検証のバッチ処理を実行し、影響を受ける各資産の意思決定レコードを更新します。これにより、「パッチ適用ごっこ」を防ぎ、優先された作業が実際の悪用リスクを反映していることを保証できます。
ITとOTの両環境でKEV脆弱性に対応する場合、根本的な対立が生じます。OT環境では、制御されたメンテナンスウィンドウや厳格な変更管理が求められるためです。サーバーやエンドポイント向けに構築された修正プレイブックを、そのまま制御システムや産業プロセスの制約に適用することはできません。
環境に応じた意思決定ルールを導入してください。
多くのチームは、OTを単なる「もう一つのネットワークセグメント」として扱い、ITサーバーと同じスケジュールでパッチを適用しようとして失敗します。その結果、運用の混乱によってパッチ適用が遅れ、リスクが膨らみ、検証基準がないままに「無期限の代替制御」が放置されることになります。
KEVを利用して、タイミングの規律を強化してください。KEVは、悪用が予想される脆弱性に対して修正を強いるためのものです。(Source)。したがって、運用の契約には「どの代替制御が、パッチ適用までの間のみ許容されるのか」、そして「その期間の延長を誰が承認するのか」を明記する必要があります。
KEV以外の広範なリスクコンテキストについては、ベライゾンの「データ漏洩/侵害調査報告書(DBIR)」が、脆弱性の悪用やインシデント対応の現実を含め、侵害がどのように発生するかという証拠ベースの知見を提供しています。2025年版DBIRは、攻撃者がどのように機会を運用し、防御側がどのように対応を構築すべきかを考える上で有用なリファレンスとなります。(Source)。KEVは侵害分析に取って代わるものではありませんが、広範な対応態勢の中で「何を優先的に修正すべきか」を精緻化するのに役立ちます。
結論として: ITとOTで異なる変更管理タイミングを持つ「別個のKEV修正レーン」を作成しつつ、意思決定レコードの要件は統一してください。KEV項目が両方のレーンに影響を与える場合は、ITの統合ポイントとOTの実行制約を横断してエンドツーエンドのタイムラインを管理する単一の責任者を定めてください。
代替制御は、曖昧な「緩和計画」であってはなりません。具体的で、強制力があり、かつ検証可能でなければ、KEVの価値を損なう形だけのものになってしまいます。
組織内で代替制御の定義を標準化してください。代替制御には、技術的なもの(例:アクセス経路の制限、サービスの隔離、管理インターフェースの制限)と、手順的なもの(例:一時的な設定基準の強化)があります。いずれの場合も、以下を含める必要があります。
これはゼロトラストの論理とも合致しています。ゼロトラストは暗黙の信頼を排除し、継続的な検証と最小権限に焦点を当てます。CISAのゼロトラスト成熟度モデルでは、進捗を一過性の導入ではなく、測定可能な能力構築として捉えています。(Source)。代替制御は許可される相互作用を限定するため、ゼロトラストの検証と親和性が高いのです。
サードパーティ製ツールが関与する場合、代替制御にはベンダーとの調整が必要になることがあります。しかし、「ベンダーに問い合わせた」ことは証拠にはなりません。ワークフローには「ベンダーのアクション+技術的な検証」が必要です。暫定的な制御策を定義し、それが実際に有効であることを確認してください。
また、対応の優先順位を決定する際には脅威のコンテキストも重要です。ENISA(欧州サイバーセキュリティ機関)の脅威ランドスケープ報告書は、進化する脅威パターンをまとめています。これらはKEVのように直接パッチ適用の判断を定義するものではありませんが、一般的な悪用経路を遮断するための制御タイプの優先順位付けに役立ちます。(Source 2025, Source 2024)
結論として: 代替制御を、検証ポイントを伴う「テスト可能かつ期限付きの変更」として定義してください。検証できないものは、KEV項目の代替制御として受け入れてはいけません。
悪用は時間との勝負であるため、KEVのトリガーはインシデント対応の準備状況やエスカレーションのランブック(手順書)と連動させるべきです。KEVは既知の悪用された脆弱性に焦点を当てていますが、防御側には依然として「検知」から「運用上の対応」への具体的なマッピングが必要です。
実効性のあるエスカレーション契約の例:
悪用への対応で重要なのは、「ツールがCVEを検知したこと」と「攻撃者が影響を及ぼしたこと」を混同せずに、意思決定の遅延を最小限に抑えることです。
NIST CSF 2.0は、インシデントと対応の規律を構築するための構造を提供しています。(Source)。これを運用に翻訳すると、KEVは露出や侵害の証拠がある場合に、パッチ適用と調査の両方を促す原動力となるべきです。
CERT-EUの脅威ランドスケープ報告書は、脅威インテリジェンスが防御側へどのように提供されているかを示しており、検知範囲の検討に役立ちます。(Source)。また、ITU(国際電気通信連合)のサイバーセキュリティプログラムは、各国の能力構築がどのように枠組み化されているかを示しており、運用の能力は構造化されたプロセスに依存することを強調しています。(Source)
結論として: KEVを、明確な証拠のしきい値と必須の検証を備えた「エスカレーションの階段」に接続してください。「導入」しただけで修正の有効性を証明せずに終わることを防ぎ、また、根拠の薄い証拠だけでIRチームを疲弊させることもなくなります。
以下のケースは、検証済みのソースに基づくワークフローの失敗モードと、その教訓を示しています。
2025年7月、CISAはKEVカタログに4つの脆弱性を追加しました。(Source)。ここでの教訓は脆弱性そのものではなく、組織内の「仕組み」にあります。KEVが拡張された際、以前スキャンされたものの、新しいエントリにマッピングされていなかった資産の再トリアージを怠るケースが多々あります。再検証のトリガーがなければ、新しいKEV項目は「明日のバックログ」へと埋もれてしまいます。
ベライゾンの2025年版DBIRは、侵害が運用上どのように展開するかを構造的に示しています。(Source)。KEVにおける教訓は、脆弱性管理を「のんびりとした衛生管理」として扱ってはならないということです。悪用経路が存在する場合、修正の判断はインシデント対応の準備や証拠の取り扱いと直結していなければなりません。
CISAのゼロトラスト成熟度モデルは、実装を検証の期待値を伴う段階として構成しています。(Source)。教訓は「検証の規律」です。緩和策が存在すると主張しながら、それが有効に機能していることを示す測定可能なチェックが欠落しているケースが散見されます。
ENISAの脅威ランドスケープ調査(2024年・2025年)は、防御側の選択に影響を与える脅威の傾向を示しています。(Source 2024, Source 2025)。教訓は、代替制御は単に「パッチ適用が楽だから」という理由ではなく、現実的な脅威条件を考慮して選択されるべきだということです。
すべての組織が同じツールを必要とするわけではありません。必要なのは、KEVを実行可能にし、シグナルを証拠に基づくワークフロー状態へと変換する「予測可能な統合」です。
ホスト、サービス、OTゾーン、サードパーティ製エンドポイントを網羅した、信頼できるインベントリが必要です。正確なマッピングがなければ、トリアージで責任者を割り当てることはできません。
スキャン結果だけでは不十分です。可能な限り検証を加え、影響を受けるコンポーネントがインストールされ、かつ到達可能であることを確認してください。
KEVの意思決定レコードは、実際の作業が管理される場所(チケットシステム)に存在しなければなりません。パッチ適用のチケット、代替制御のタスク、検証の証拠がすべて1つのKEV項目の下に集約される必要があります。
代替制御は検証できて初めて意味を持ちます。検証のタイムスタンプを保存する場所を確保し、監査時に手動で探し回ることなく情報を引き出せるように統合してください。
代替制御はアクセスや露出を制限することが多いため、ゼロトラストのアプローチと整合させてください。CISAのゼロトラスト成熟度モデルは、能力構築と検証の枠組みを提供しています。(Source)。また、シスコのゼロトラストに関する資料なども、企業環境におけるポリシー主導の強制力構築を理解する上で参考になります。(Source)
結論として: KEVのシグナルを、所有権と変更のタイミングを制御するシステムに組み込んでください。KEVの情報がトリアージのキューや検証要件を伴う変更タスクに自動的に反映されないのであれば、その「契約」は単なるスプレッドシートへと退化してしまいます。
運用の契約を維持するには、計画的なインプットが必要です。これにはポリシーの期間設定や脅威のコンテキストが含まれます。
CISA KEVは固定されたものではなく、2025年7月の追加に見られるように、常に更新されています。(Source)。計画策定においては、初期の取り込みだけでなく、こうした「差分」作業を想定しなければなりません。以下の3つの運用指標を毎月のトレンドとして追跡することをお勧めします。
NIST SP 800-53管理策の改訂は、統制ガイダンスが継続的に進化していることを示しています。(Source)。KEVの判断が現在の統制の期待値から逸脱しないよう、定期的なレビューサイクルを計画してください。
結論として: KEVの運用契約を、更新を取り込み、成果を検証し、最新の統制ガイダンスや脅威パターンと整合し続ける「生きたシステム」として設計してください。測定可能なKPIこそが、強制力を形骸化させないための鍵となります。
実務者には、実際の運用に即した次のステップが必要です。
脆弱性管理ワークフローチームに対し、各KEV項目について以下の3つの成果物を必須とする「KEV運用契約」の実装を指示してください。 (1)意思決定レコード(トリアージ、責任者、方針、承認、時期) (2)検証証拠一式(変更後のチェック結果とタイムスタンプ) (3)代替制御に対する期限ルール 検証が完了しない限り、記録をクローズできないよう変更管理と連動させてください。
今後3四半期にわたり、KEVを運用の契約として扱わない組織は、同じパターンに陥り続けるでしょう。新しいKEVの追加がチケットの氾濫を招き、OTの変更遅延が修正タイムラインを引き延ばし、検証のない代替制御が放置されます。一方で、契約状態に基づいたワークフローを実装するチームは、構造化されたトリアージと検証により、意思決定のスピードと監査への対応力を向上させるはずです。
KEVを強制力のあるものにしてください。判断と検証を証明できないのであれば、それは修正したことにはなりません。単に「試みた」だけです。証拠を強制するワークフローを構築しましょう。