CISA Urged to Enrich KEV Catalog with More Contextual Data
2025/05/30 InfoSecurity — アプリケーション・セキュリティ・プロバイダである OX の最新レポートは、Known Exploited Vulnerabilities (KEV) カタログにコンテキスト・データを追加するよう、Cybersecurity and Infrastructure Security Agency (CISA) に対して要請するものだ。CISA の KEV カタログに掲載されている 10 件の CVE を、200 以上のクラウド環境で分析した結果、クラウド・コンテナ環境に対して実際のリスクをもたらすものは1件もなかったと、OX の研究者たちは報告している。
5月28日に公開したレポートで OX は、この調査結果を公表した。そして、脆弱性管理を担当するセキュリティ・チームに対して、「全ての脆弱性に一斉にパッチを適用する」アプローチから脱却し、脆弱性のコンテキストに基づいてパッチ適用の優先順位を決定するよう推奨している。
また、CISA に対しても、KEV カタログにコンテキスト・データを追加するよう促している。
KEV に登録されても必ずしも重要ではない
OX の研究者たちは、今回の調査を行うにあたり、200 のクラウド環境における最も一般的な 10,000件の脆弱性の中から、CISA KEV リストにも掲載されている 25件の CVE を選択した。続いて、そこから 10件の KEV エントリを抽出し、クラウド・コンテナ環境での悪用をテストした。その内訳は、Linux 5件/Android 1件/Chrome 3件/Safari 1件となっている。
テストの結果として、5件はクラウド・コンテナ環境では悪用不可能であり、残りの5件も特定の条件下でのみ悪用が可能であることが判明した。これらの結果から OX は、 KEV カタログは脆弱性管理において重要なツールであるが、環境によるコンテキストの違いが十分に考慮されていないと結論付けた。
同社は、「コンプライアンス規制を重視するあまり、環境のコンテキストを無視して、すべての KEV 脆弱性を同等の緊急性で扱うことは不合理である。すでに、過負荷状態にあるセキュリティ・チームに不要な作業を強いるものとなり、ほんとうの意味で重要となる問題への、対応を妨げる要因になる」と指摘している。
CISA への要請:KEV データの拡充
OX チームは CISA に、KEV の公開プロセスを更新し、各 KEV エントリに以下のようなデータを追加するよう要請している:
- プラットフォーム固有の関連性指標
- CVE のオリジナル情報
- 攻撃チェーンと攻撃経路のコンテキスト
脆弱性のコンテキストを基にした優先順位付け
OX は、セキュリティ・チームに対し、KEV に登録された脆弱性を重大と扱う前に考慮すべき事項のリストを提供している:
- CVE が報告された元の文脈を特定し、自社の環境と比較する
- エクスプロイト例 (PoC エクスプロイトを含む) を検索する
- 脆弱性と機密情報との関係を評価する
OX の研究者は、「セキュリティ・チームが年間 180件を超える新しい KEV に直面する中で、文脈に基づく優先順位付けは効果的な脆弱性管理に不可欠だ」と結論付けている。
OX 社の最新レポートは、CISA の KEV カタログにコンテキスト情報を加えるべきだという提案をしているようです。たしかに、KEV は殺風景すぎると思います。なお、文中の “Linux 5件/Android 1件/Chrome 3件/Safari 1件” の部分には、OX の PDF レポートを DL して、確認できた件数を追記しています。ちょっと、内訳が気になったもので・・・ よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.