米国は、公共部門、民間部門、そして究極的には米国民のセキュリティとプライバシーを脅かす、持続的でますます巧妙化する悪意あるサイバー活動に直面している。連邦政府は、連邦エンタープライズ全体のIT資産のセキュリティを確保することにより、これらの活動に対する保護を行うための取組みを強化する必要がある。公共及び民間組織に対する悪用のために以前より使用されている脆弱性は、あらゆる種の悪意のあるサイバー活動者による頻出の攻撃経路である。これらの脆弱性は、政府機関や連邦エンタープライズ¹に重大なリスクをもたらす。連邦政府の情報システムを保護し、サイバーインシデントを減らすには、既知の悪用された脆弱性を積極的に修復することが不可欠である。

本指令は、サイバーセキュリティ・社会基盤安全保障庁（CISA）が管理する、連邦エンタープライズに重大なリスクをもたらす既知の悪用された脆弱性のカタログhttps://cisa.gov/known-exploited-vulnerabilities²を確立し、カタログに含まれる当該脆弱性の修正に関する政府機関向けの要件を確立する。CISAは、攻撃コードが脅威主体によって公共又は民間組織に対しての悪用行為に積極的に使用されていることの信頼できる証拠に基づき、カタログに含める根拠がある脆弱性かを判断する。本指令は、CISAの脆弱性診断サービスによりインターネット公開された連邦情報システムで識別された重大又は高深刻度の脆弱性の修復要件に対応するものである、BOD 19-02を強化するものであるが、それを代替するものではない。

適用範囲 見出しへのリンク

本指令は、政府機関のオンプレミスで管理されているか、政府機関に代わって第三者によりホスティングされている連邦情報システムに存在する、全てのソフトウェアとハードウェアに適用される。これらの要求される活動は、政府機関の代理としての他者により利用又は運用される情報システムを含む、政府機関の情報を収集、処理、補完、伝送、情報発信、又はその他の方法で保持する、全ての連邦情報システムに適用される。

1. 発出から60日以内に、機関は本指令に従うよう、機関内部の脆弱性管理手順を再確認及び更新するものとする。CISAから要求された場合、機関はこれらの方針及び手順の写しを提出するものとする。機関の方針は、少なくとも以下の各項を行うものである必要がある。

   a. 本指令の通りCISAが定めた期間内で、CISAが、連邦エンタープライズ¹に重大なリスクをもたらすと、CISAが管理する既知の悪用された脆弱性カタログに含めることを通じて識別した脆弱性を、継続して修復するプロセスを確立する。

   b. 本指令の求めに従い機関の活動を執行するための役割と責任を割り当てる。

   c. 本指令が求める活動への迅速な対応を可能にするために必要な活動を定義する。

   d. 本指令の遵守を確実なものとするための内部検証・強制手順を確立する。

   e. 本指令の遵守状況を評価し、必要に応じてCISAに報告するために、内部の追跡・報告要件を設定する。

2. CISAが管理する脆弱性カタログに記載されている予定に応じ、各脆弱性を修正する。カタログでは、2021年より前に共通脆弱性識別子（CVE: Common Vulnerabilities and Exposures）IDが割り当てられた脆弱性については6か月以内、その他の全ての脆弱性については2週間以内に修正するよう、連邦エンタープライズに重大なリスクをもたらす悪用された脆弱性が列挙される。これらの既定の予定は、連邦エンタープライズに危機的なリスクがある場合に調整される場合がある。

3. リポジトリに列挙されている脆弱性の状況を報告する。常時診断・リスク緩和（CDM: Continuous Diagnostics and Mitigation）連邦ダッシュボード展開の要件と行政管理予算局（OMB）による連邦情報セキュリティマネジメント法（FISMA）に関する覚書の年次要件に沿って、機関はデータ交換を自動化し、CDM連邦ダッシュボードを通じて各指令の実装状況を報告することとなっている。当初は、機関はCyberScopeの提出を通じて四半期報告を提出しても、CDM連邦ダッシュボードを通じて報告してもよい。2022年10月1日以降、報告をCDM連邦ダッシュボードに移行していない機関は、CyberScopeを通じて隔週で状況を更新する必要がある。

1. https://cisa.gov/known-exploited-vulnerabilities²で既知の悪用された脆弱性のカタログを管理し、認識及び活動させるために更新プログラムについて機関に注意喚起する。
2. CISAは、https://cisa.gov/known-exploited-vulnerabilitiesのカタログに脆弱性を含め、また追加するにあたっての閾値と条件を公開する。
3. 本指令の発行以降、必要に応じ、CISAは一般的なサイバーセキュリティ環境の変化を考慮するために本指令を見直すとともに、連邦情報システム向けに追加の脆弱性管理のベストプラクティスを組み込むための補足的指令の発行を検討する。
4. 年次で、各年度末までに、国土安全保障長官、行政管理予算局（OMB: Office of Management and Budget）局長、及び国家サイバー長官に対し、本指令の実装に関する省庁横断の状況及び未解決問題を識別しての報告を行う。

• 米国国家脆弱性データベース（NVD: National Vulnerability Database）に列挙されている脆弱性と、CISAの既知の悪用された脆弱性（KEV: Known Exploited Vulnerabilities）カタログに列挙されている脆弱性の違いは何ですか？
• 最初に修復することがより重要なのはどのような脆弱性ですか？重大及び高い深刻度の脆弱性ですか、それとも既知の悪用された脆弱性ですか？
• テレワークが長期化しているため、ほとんどのワークステーションが遠隔地にあり、更新が困難です。CISAにはローミングデバイスやノーマディックデバイスの更新に関する推奨事項はありますか？
• CISAはどの程度の頻度で新しい脆弱性をカタログに追加しますか？
• 深刻度が高又は重大のCVEと、既知の悪用された脆弱性（KEV）の違いは何ですか？
• 機関は全てのCVEを更新する必要があるのではないのですか？新たな更新要件を作成した要旨は何ですか？当組織は、優先順位付けのために引き続きCVSSを使用するべきですか？
• 影響を受ける資産をベンダの推奨事項に従って更新できない場合、代替となる緩和策はありますか？
• KEVがまだ米国国家脆弱性データベース（NVD: National Vulnerability Database）に列挙されていないのはなぜですか？
• KEVカタログでCVEを見つけるために、CISAが提供するツールをどのように活用すればよいですか？
• 当機関が特定のパッチの実装にあたり深刻な困難に直面した場合、CISAは免除を承認しますか？
• クラウドサービスプロバイダー（CSPs: Cloud Service Providers）がこれらのKEVにパッチを適用するにあたっての自らの責任を果たすことを引き受けるよう、CISAはどのように働きかけますか？機関は、どのように第三者の環境（クラウド等）でホスティングされている連邦情報システムの脆弱性を報告するべきですか？
• CISAはどのように積極的な悪用を判断したのですか？
• スコープ内の新しい脆弱性が特定された後、CISAはどの程度迅速にKEVカタログを更新しますか？
• KEVカタログに追加された古いCVEがあります。CISAはその積極的な悪用を目にしていますか？
• どうして、古いCVE、若しくはサポート終了（end-of-life）製品、又はそれら双方がKEVカタログに追加されるのですか？
• 利用可能なPoCはあるのですか？又は、この脆弱性のPoCは見当たりません。
• KEVカタログの脆弱性で、特定のベンダーと製品が掲載されています。ですが、この製品は別のセキュリティベンダが提供するサードパーティー製品に組み込まれており、パッチは提供されていません。どのように進めればよいですか？
• プラグイン又は我々の調査、及びそれら双方では、このCVE IDに対応するベンダ/製品はKEVカタログで列挙されているものとは異なることが示されています。パッチを適用すべき正しい製品は何ですか？
• CISAがKEVカタログから記載を削除することはありますか？
• 当組織ではどのようにKEVカタログを使用することができますか？

米国国家脆弱性データベース（NVD: National Vulnerability Database）に列挙されている脆弱性と、CISAの既知の悪用された脆弱性（KEV: Known Exploited Vulnerabilities）カタログに列挙されている脆弱性の違いは何ですか？ 見出しへのリンク

NVDは、共通脆弱性識別子（CVE: Common Vulnerabilities and Exposures）IDが割り当てられた既知のすべての脆弱性を列挙しています。NVDのデータベースには現在160,000を超える一意のCVEが含まれており、これは継続的に増加しています。各脆弱性は、影響や実行の容易さなど、いくつかの要因に基づいて評価されます。ただし、共通脆弱性評価システム（CVSS: Common Vulnerability Scoring System）の基本値は、脆弱性が実際にシステムを攻撃するのに使用されているかどうかを考慮していません。当庁の専門家は、攻撃者がその目標を達成するために深刻度が「重大」な脆弱性だけに依存するのではなく、最も広範で壊滅的な攻撃のうちには、「高」、「中」、あるいは「低」とすら評価されている脆弱性が含まれていることを観測しています。「連鎖」として知られているこの方法論は、評価値の低い脆弱性を使用して最初の足場を築き、その後追加の脆弱性を悪用することで逐次的に権限を昇格します。

また、「重大」と分類された多くの脆弱性は非常に複雑で、実際に悪用されたことはありません。実際、CVEの総数の4%未満のみが、公の場で悪用されています。しかし、脅威主体は気に入った脆弱性を非常に迅速に悪用します。既知の悪用された4%のCVEのうち、42%が開示の0日目に、50%が2日以内に、そして75%が28日以内に使用されています。

最初に修復することがより重要なのはどのような脆弱性ですか？重大及び高い深刻度の脆弱性ですか、それとも既知の悪用された脆弱性ですか？ 見出しへのリンク

既知の悪用された脆弱性が、最優先で修復されるべきです。2019年まで遡っての過去の脆弱性データの調査に基づくと、全ての既知の脆弱性のうちの4%未満のみが、実際に攻撃者によって使用されています。BOD 22-01は、政府機関の焦点を実社会の攻撃では使われることがないかもしれない数千の脆弱性に当てさせるのではなく、有効な脅威である脆弱性に焦点を移しています。CISAは、特にマシン間の通信及び大規模な自動化においては、CVSS評価は依然として組織の脆弱性管理の取り組みの一部になりうるということを認識しています。本指令は、機関が自らの修復作業に優先順位を付けるのを支援することを意図したものであることを覚えておいてください。本指令は機関をいかなるコンプライアンス上の義務から解放するものでもなく、その義務には他の脆弱性の解決が含まれます。

テレワークが長期化しているため、ほとんどのワークステーションが遠隔地にあり、更新が困難です。CISAにはローミングデバイスやノーマディックデバイスの更新に関する推奨事項はありますか？ 見出しへのリンク

最近のテレワークの増加により、これらの問題が増幅され、リモート機器及びローミングデバイスの更新と保護がより困難になっています。CISAは、機関が自らのリモート機器をより適切に管理できるように、リモートパッチ及び脆弱性管理に関する能力強化の手引きを発行しました。

CISAはどの程度の頻度で新しい脆弱性をカタログに追加しますか？ 見出しへのリンク

CISAは、庁のチームが次の条件を満たす脆弱性を識別した際にカタログに新しい脆弱性を追加します。

• 共通脆弱性識別子（CVE: Common Vulnerabilities and Exposures）IDが割り当てられている。
• その脆弱性が有効に悪用されていることを示す信頼できる証拠がある。
• ベンダ提供の更新プログラム等、その脆弱性に対する明確な修復アクションがある。

毎年新しいCVEの数が大幅に増加しているため、既知の悪用された脆弱性の数は時間と共に増大すると予想されます。これは、脅威主体の数及び能力の増加、並びにセキュリティ研究者による一層の精査の双方によるものです。

深刻度が高又は重大のCVEと、既知の悪用された脆弱性（KEV）の違いは何ですか？ 見出しへのリンク

現在、CVEはCVSSシステムで評価されていますが、CVSSシステムは脆弱性が実際にシステムの悪用のために使用されたことがあるかどうかを考慮していません。CVSS評価が高や重大のCVEの多くは非常に複雑で、特別な条件やアクセス許可が必要な場合があり、検証環境でしか実証されていません。既知の悪用された脆弱性（KEV: Known Exploited Vulnerability）は、実際のシステムを侵害するために使用されたCVEのサブセットです。

機関は全てのCVEを更新する必要があるのではないのですか？新たな更新要件を作成した要旨は何ですか？当組織は、優先順位付けのために引き続きCVSSを使用するべきですか？ 見出しへのリンク

機関は、全てのCVEを更新する必要はありません。脆弱性管理プログラムが有効であるためには、有効な脅威を考慮する必要があります。CISAは全ての利害関係者に対し、CISAによる既知の悪用された脆弱性のカタログを活用し、これらの脆弱性が直ちに修正できるよう優先することを推奨しています。CISAは、CVSS評価が、特に特にマシン間の通信及び大規模な自動化においては、組織の脆弱性管理の取り組みの一部であるべきであることを認識しています。

影響を受ける資産をベンダの推奨事項に従って更新できない場合、代替となる緩和策はありますか？ 見出しへのリンク

影響を受ける資産をネットワークから取り除くことを除くと、これらの脆弱性に対する唯一の既知の技術的な緩和策は、カタログに記載されている必要な対処を適用することです。要求される時間内にこれらの対処を実行できない場合は、期間のネットワークから資産を取り除く必要があります。更新できない資産は、非常に高い運用稼働時間の要件を持つ、サポートされていないレガシー資産である可能性が最も高いです。

隔離は、重要なソフトウェア、重要なソフトウェアプラットフォーム、及び関連するデータへの直接のアクセスを最小限に抑える、ネットワークからの除去の一形式です。セキュリティ及びネットワークのアーキテクチャによっては、この戦略は脆弱な機器に対する脅威を阻止するのに非常に効果的です。組織は、必要に応じて隔離方法を実装し、並びに通常の機器のアクセス及び機能を復元するために隔離を元に戻す準備をしておく必要があります。環境によっては、適切な隔離手法には、廃止、脆弱なソフトウェア製品の除去、ネットワークのセグメンテーション、隔離、SDP（Software-Defined Perimeter）、及びプロキシが含まれる場合があります。

KEVがまだ米国国家脆弱性データベース（NVD: National Vulnerability Database）に列挙されていないのはなぜですか？ 見出しへのリンク

CVEの詳細がCVEリストで公開されるより前に、第三者組織がCVE IDに関する勧告を発表することがあります。CVEの状態が予約済みの場合、そのCVEはNVDでは使用できません。https://cve.mitre.org/cve/search_cve_list.htmlを確認することで、CVEが「予約済み」の状態にあるかどうかを確認できます。

CVE採番機関（CNA: CVE Numbering Authority）又はセキュリティ研究者による使用のために予約されているが、その詳細はまだCNAによって公開されていない場合、CVEレコードは「予約済み」と示されます。予約済みは、CVEレコードの初期状態です。

CVEレコードは、CVEリストの内外のいくつもの要因に基づいて、いつでも「予約済み」状態から公開済みの状態に変わる可能性があります。CVEリストで詳細が記載されたCVEレコードが公開されると、NVDで利用可能になります。プロセスの最終段階の1つとして、CVEレコードに対応するNVDの共通脆弱性評価システム（CVSS: Common Vulnerability Scoring System）評価値がNISTのNVDチーム（https://www.cve.org/ResourcesSupport/FAQs）によって割り当てられます。

KEVカタログでCVEを見つけるために、CISAが提供するツールをどのように活用すればよいですか？ 見出しへのリンク

2021年12月に、CDMは連邦機関向けに既知の悪用された脆弱性を明確に識別する専用の可視化及びダッシュボードを提供開始しました。これは、CISAが管理するKEV/BODフィードを使用し、CDMダッシュボードで機関の脆弱性報告を充実させることにより提供されます。これにより、新しいKEVがCISAのリポジトリで更新された際に、それが自動的にCDMプラットフォームに提供され、エンドユーザーの手動での介入によらずCDMの報告プロセス内でタグ付けできるようになります。CDMは過去に、「連邦脆弱性活動（FVA: Federal Vulnerability Action）」と呼ばれる「高まった」脆弱性のフラグをこのようなシナリオ向けに実装していましたが、今後、このフラグはKEVをミラーリングして機能の同等性を保つためにのみ使用されます。

これらの機能は、CDMのツールとセンサーから脆弱性情報の提供を受ける、運用中のCDM機関ダッシュボードを持つ全ての機関が利用可能です。詳細については、CDMポートフォリオ チームにお問い合わせください。

CISAサイバー衛生（CyHy: Cyber Hygine）チームは現在、週次の脆弱性診断報告でKEVを強調表示する機能及び機関の資産でKEVが新たに検出されてから24時間以内に随時の警報を送信する機能の追加に取り組んでいます。CyHy脆弱性診断（CyHy VS）はネットワークの外部からしか脆弱性を検出できないため、検出に内部アクセス又は認証情報を必要とするCVEは、たとえそのCVEがネットワーク上に存在したとしても、CyHy VS報告では検出されないことに留意してください。

当機関が特定のパッチの実装にあたり深刻な困難に直面した場合、CISAは免除を承認しますか？ 見出しへのリンク

CISAは、サイバー指令で必要とされる活動に対する免除又は例外を発出しません。課題、緩和のための選択肢、及び修復予定の見積もりを理解するために当庁が貴機関と協働できるよう、あらゆる特別なユースケースはCISA (CyberDirectives@cisa.dhs.gov)に可及的速やかにお知らせください。

クラウドサービスプロバイダー（CSPs: Cloud Service Providers）がこれらのKEVにパッチを適用するにあたっての自らの責任を果たすことを引き受けるよう、CISAはどのように働きかけますか？機関は、どのように第三者の環境（クラウド等）でホスティングされている連邦情報システムの脆弱性を報告するべきですか？ 見出しへのリンク

CISAはFedRAMPと緊密に連携して、本指令への対応をFedRAMP認定クラウドサービスプロバイダー（CSPs: Cloud Service Providers）と調整しています。FedRAMP認定CSPsは、利用者である期間と調整をするよう通知されています。CISAは、本指令の対象となる連邦情報システムに役務を提供している第三者が、FedRAMP認定の対象外である可能性があることも認識しています。

各機関は、第三者の環境で（FedRAMP認定の有無によらず）ホスティングされている全ての情報システムの目録を作成するとともに、本指令に関連する状況の更新及び本指令を遵守させるようにするために役務提供者に直接連絡する責任があります。

もし影響を受けるバージョンが第三者の環境で見つかった場合、報告と修復の義務は、提供される役務の種類、及び提供者が別の連邦政府機関か商用プロバイダーかによって異なります。

報告の目的においては以下の通りです。

• 影響を受けた第三者の役務提供者が別の連邦政府法人である場合、役務を提供する機関は、本指令に基づいてCISAに状況報告を提出する責任があります。役務の提供を受ける機関は、そのシステムに限ってはそれ以上の報告義務を負わない場合があります。
• 影響を受けた第三者の役務提供者が商用提供者（FedRAMP認定の有無によらず）である場合、役務提供者は未解決の脆弱性の状況を役務の提供を受ける機関に報告しなければなりません。役務の提供を受ける機関が、本指令によって要求されるいかなる報告についても責任を負います。機関は、本指令を遵守させるために、必要に応じて役務提供者に直接関与する責任を負います。

CISAはどのように積極的な悪用を判断したのですか？ 見出しへのリンク

CISAは主に、セキュリティベンダ、研究者、及び連携先から悪用の情報を直接受け取ります。CISAはまた、CISAの分析官によるオープンソースの研究を通じた米国政府及び国際連携先、並びに第三者のサブスクリプションサービスを通じて、悪用の情報を入手しています。

セキュリティベンダ、セキュリティ研究者、又は連携先（米国及び万国の政府機関を含む)から直接悪用が行われていることを知らされた場合、CISAは悪用の証拠について議論するために報告者と接触します。CISAは、BOD 22-01の要件を満たしていれば、報告された積極的に悪用された脆弱性をKEVカタログに追加します。インシデント対応の取り組みを通じてCISAが発見した悪用済みの脆弱性も、KEVカタログに追加されます。

CISAの分析官は、日々脆弱性のオープンソース検索を実行しています。ベンダのセキュリティ勧告から取得した積極的な悪用の情報は、信頼できる情報源であり、正確であると見なされます。サイバーセキュリティの報道機関、学術論文、サイバーセキュリティ会社の（影響を受けるベンダーからのものではない)報道発表などで、積極的な悪用が報告された場合、CISAは正確性と信頼性のために、悪用に関する表現と元の情報源からの引用を確認します。情報が信頼できる場合、CISAは脆弱性をKEVカタログに追加します。CISAが情報を100%正確であると見なさない場合、CISAは脆弱性をKEVカタログに追加しません（ただし、CISAは内部でその脆弱性を記録し、その掲載を正当化するさらなる悪用の証拠が明らかになることがあった場合、カタログに追加します)。

また、CISAは脆弱性に関する情報を含む脅威インテリジェンスプラットフォームのサブスクリプションサービスを購入しており、これにはハニーポットの検知、実際のマルウェアの観測、脅威インテリジェンスレポート等が含まれます。オープンソースの調査手順と同様に、CISAはプラットフォームからの情報を確認し、情報が信頼できる場合、脆弱性をKEVカタログに追加します。

スコープ内の新しい脆弱性が特定された後、CISAはどの程度迅速にKEVカタログを更新しますか？ 見出しへのリンク

CISAは、既知の悪用の証拠から24時間以内にKEVカタログを更新します。

KEVカタログに追加された古いCVEがあります。CISAはその積極的な悪用を目にしていますか？ 見出しへのリンク

脆弱性のKEVカタログへの追加は、CISAが現在進行形の積極的な悪用を観察していることを示すものではありません。積極的な悪用の正確な報告があれば、いかなる脆弱性も、その古さに関係なく、KEVカタログへの追加に値しえます。

どうして、古いCVE、若しくはサポート終了（end-of-life）製品、又はそれら双方がKEVカタログに追加されるのですか？ 見出しへのリンク

CISAは、稼働中の全てのレガシー製品が完全にパッチ適用済みであるとは想定していません。また、CISAは、全てのサポート終了（end-of-life）製品が廃棄されているとは想定していません。

現在発生している悪用の証拠がないことにより、脆弱性が将来悪用される可能性が排除されるわけではありません。攻撃者がネットワークを標的にしていて、脆弱なレガシー製品がある場合、攻撃者はその脆弱性を都合よく利用する可能性があります。

利用可能なPoCはあるのですか？又は、この脆弱性のPoCは見当たりません。 見出しへのリンク

PoCを持つ掲載脆弱性の割合は高いかもしれませんが、利用可能なPoCはKEVカタログへの追加の要件ではありません。

KEVカタログの脆弱性で、特定のベンダーと製品が掲載されています。ですが、この製品は別のセキュリティベンダが提供するサードパーティー製品に組み込まれており、パッチは提供されていません。どのように進めればよいですか？ 見出しへのリンク

CISAは、特定の脆弱性に関連する原製品ベンダと製品を、原製品ベンダ提供のパッチと共に提供します。環境に別のセキュリティベンダからのサードパーティー製品が含まれている場合は、パッチを入手するためにそのベンダに直接連絡する必要があります。

プラグイン又は我々の調査、及びそれら双方では、このCVE IDに対応するベンダ/製品はKEVカタログで列挙されているものとは異なることが示されています。パッチを適用すべき正しい製品は何ですか？ 見出しへのリンク

CISAは、脆弱性をKEVカタログに追加する際、入手可能な最新の情報を公開することを目指しています。ただし、一部の製品については脆弱性が存在する場所を特定するのが困難です。複数の製品が同じCVE IDに帰する場合、CISAは、該当する全ての関連製品にその製品のパッチを適用することを推奨します。

CISAがKEVカタログから記載を削除することはありますか？ 見出しへのリンク

CISAは、その脆弱性に対するベンダのセキュリティ更新プログラムが、脆弱性自体よりも大きな影響がある予期せぬ重大な問題を引き起こす場合にのみ、脆弱性を削除します。ベンダが問題を解決すると、脆弱性はカタログに復元されます。

当組織ではどのようにKEVカタログを使用することができますか？ 見出しへのリンク

CISAは、組織が利害関係者固有脆弱性分類（SSVC: Stakeholder-Specific Vulnerability Categorization）モデル等の悪用状況を評価する脆弱性評価フレームワークと組み合わせてKEVカタログを使用することを推奨しています。そうすることで、脆弱性管理活動の優先度を付与する際の判断材料になります。脆弱性の積極的な悪用は、広く受け入れられているリスク要因であり、脆弱性管理活動において考慮される必要があります。組織は、KEVの脆弱性を自動的に組み込み、フラグを立てたり優先度を付与したりする、自動化された脆弱性・パッチ管理ツールの使用も検討するべきです。そのようなツールの例には、CISAのサイバー衛生サービス、Palo Alto Networks Cortex、Tenable Nessus、Runecast、Qualys VMDR、Wiz、Rapid7 InsightVM、及びRapid7 Nexposeが含まれます。これらの他のKEVの脆弱性を組み込んだツールを提供している組織は、CISA.JCDC@CISA.DHS.GOVに電子メールを送信することで、上記に追記されることができます。

KEVカタログは、脆弱性管理プログラムにおける役割を果たすことができますが、唯一の要素であってはなりません。脆弱性管理プログラムをまだ実施していない場合は、とても良い出発点として役立ちます。CISAは、現在環境にあるソフトウェア及びハードウェア製品を最適に判断し、組織に直接影響を与えるKEVカタログの脆弱性を識別するために、組織が更新された資産目録情報を持つことを強く推奨しています。  

リソースと連絡先情報 見出しへのリンク

• 一般的な情報、支援、及び報告 - cyber​​directives@cisa.dhs.gov
• CISAが管理する既知の悪用された脆弱性のカタログについては、ここをクリックしてください原文リンク
• 新しい脆弱性がカタログに追加されたときの自動警報に登録するには、ここをクリックしてください