カバレッジ基準

VulnCheck KEVは、脆弱性を含めるための基準を簡潔かつ理解しやすく設定することを目指しています。

VulnCheck KEVに含まれるものは？

VulnCheck KEVには、公に報告されている、実際に悪用されている脆弱性が含まれます。

時折、次のような追加の確認が必要な質問が出ることがあります：

• ベンダーからパッチが提供されていない脆弱性はどうなるのか？
• サポートが終了しているシステムはどうなるのか？
• CVEが割り当てられていない脆弱性はどうなるのか？
• CVEが割り当てられているが、NIST（またはMITRE）からまだ公開されていないCVEレコードがある場合はどうなるのか？

簡潔に言うと、これらのいずれもVulnCheck KEVに脆弱性を追加することを制限しません。VulnCheck KEVに脆弱性を追加する唯一の前提条件は、その脆弱性が公に「実際に悪用されている」と報告されていることです。

CVEの割り当てに関しては、VulnCheck KEVに含まれるすべての脆弱性にはCVEが割り当てられています。しかし時折、CVEが割り当てられていない状態で、実際に悪用されている脆弱性が報告されることがあります。そのような場合、VulnCheckはCVE番号割り当て機関（CNA）として、CVE割り当てを担当するベンダーに連絡するか、私たち自身でCVEを割り当てます。