CVE / KEV ルックアップ
CVE番号を入れると、深刻度(CVSS)・悪用確率(EPSS)・実際に悪用中か(CISA KEV)・対策の手がかりを一画面で確認できます。ITD独自のフィードDBを優先し、無ければNVD/FIRSTから取得します。
このツールはITDのフィードDB(CISA KEV+EPSS+NVD)を読み取り、DBに無いCVEのみ公的API(NVD/FIRST)から取得します。あなたのデータは送信しません。
使い方
- 1気になるCVE番号(例: CVE-2021-44228)を入力します。
- 2CVSS・EPSS・KEV(実際に悪用中か)・対策の手がかりが表示されます。
- 3「ITDの解説記事」または「NVD公式」で詳細を確認します。
なぜ重要か
CVSSは“深刻度”ですが、悪用されるかは別問題です。EPSS(30日内の悪用確率)と、CISA KEV(実際に悪用が観測されている)を併せて見ることで、「今すぐ直すべきか」を現実的に判断できます。ITDはこの3点(CVSS×EPSS×KEV)を一画面に揃えます。
よくある質問
QKEVとは何ですか?
A
CISA(米国)が公開する『実際に悪用が確認された脆弱性』のカタログです。KEV掲載=攻撃が現実に起きている、という強いシグナルで、最優先で対処すべき対象です。
QEPSSとCVSSの違いは?
A
CVSSは脆弱性の“深刻度”、EPSSは“今後30日で悪用される確率”です。深刻度が高くても悪用確率が低いものもあり、両方を見ることで優先順位を現実的に決められます。
QどのCVEでも調べられますか?
A
ITDのDBにあるKEV掲載CVEは即座に詳細表示。それ以外も、NVDに登録があればライブ取得して表示します(その場合KEVは『非掲載』)。