脆弱性対応では、システムが重要であればあるほど、対応の優先度を決めるのが難しくなります。脆弱性管理でCVSS基本値だけに振り回されないためのメモ【CVSS v3.x編】 – Feat. Known Exploited Vulnerabilities Catalog | (n)inja csirt
紹介したブログはとても参考になりますが、掲載されているデータが2022年のもので、最近の傾向も把握したかったため、自分でも最新データを集計してみました。
免責事項 集計を自動化しており、いくつかサンプルを抽出して確認をしていますが、全てが正しく取得できていることは確認していません。
はじめに 以下の条件で集計したものです。
KEVは2025/10/29にダウンロードしたもの CVSSはv3.1 一つの脆弱性に複数のCVSS Base Metricsがある場合、APIで取得した結果の一番最初に出現したBase Metricsを使用 CVSSの取得は2025/10/30に取得 集計結果 深刻度 深刻度 件数 割合 緊急(9.0以上) 494 34.05% 重要(8.9~7.0) 773 53.27% 警告(6.9~4.0) 172 11.85% 注意(3.9~0.1) 8 0.55% なし(0.0またはスコアなし) 4 0.28%
攻撃区分(AV) 攻撃区分 件数 割合 ネットワーク(N) 1,050 72.56% 隣接(A) 23 1.59% ローカル(L) 367 25.36% 物理(P) 7 0.48%
攻撃条件の複雑さ(AC) 攻撃条件の複雑さ 件数 割合 低(L) 1,334 92.19% 高(H) 113 7.81%
必要な特権レベル(PR) 必要な特権レベル 件数 割合 不要(N) 1,041 71.94% 低(L) 337 23.29% 高(H) 69 4.77%
ユーザー関与レベル(UI) ユーザー関与レベル 件数 割合 不要(N) 1,048 72.43% 要(R) 399 27.57%
スコープ(S) スコープ 件数 割合 変更なし(U) 1,264 87.35% 変更あり(C) 183 12.65%
機密性への影響(C) 機密性への影響 件数 割合 高(H) 1,276 88.18% 低(L) 80 5.53% なし(N) 91 6.29%
完全性への影響(I) 完全性への影響 件数 割合 高(H) 1,187 82.03% 低(L) 79 5.46% なし(N) 181 12.51%
可用性への影響(A) 可用性への影響 件数 割合 高(H) 1,176 81.27% 低(L) 32 2.21% なし(N) 239 16.52%
感想 パッチ適用の判断って難しいですよね。
さて、今回はKEVカタログに掲載されているCVEのCVSS Base Metricsを調べてみましたが、CVE全体に対するKEV掲載率も調べてみたいと思いました。
