EPSS【Exploit Prediction Scoring System】
概要
セキュリティ担当者が日々直面する課題のひとつが、膨大な数の脆弱性の中からどれを優先して対応するかの判断である。広く使われている「CVSS」(Common Vulnerability Scoring System)は脆弱性の技術的な深刻度を評価するスコアであり、スコアが高い脆弱性が必ずしも実際に攻撃者によって積極的に悪用されているとは限らない。
EPSSは脆弱性の深刻度ではなく「実際に悪用される蓋然性」に焦点を当てた指標である。スコアはCVE識別子が付与された脆弱性ごとに算出され、今後30日以内に実環境で悪用される確率を表す。0に近いほど悪用される可能性が低く、1に近いほど高いことを示す。業界団体のFIRST(Forum of Incident Response and Security Teams)が算出・公表を担当している。
スコアの算出には脆弱性の技術的特性、公開されているエクスプロイトコードの有無、脅威インテリジェンスから収集した実際の悪用事例の観測データ、ダークウェブ上での言及状況など、多数の特徴量を機械学習モデルに入力する手法が採用されている。スコアは日次で更新されており、新たな情報が得られるたびに確率が動的に変化する。
CVSSとEPSSを組み合わせて活用することで、深刻度が高くかつ実際に悪用される可能性も高い脆弱性を優先的に特定するアプローチが普及しつつある。さらに、米政府機関CISA(Cybersecurity and Infrastructure Security Agency)が公開するKEVカタログ(Known Exploited Vulnerabilities)とあわせて参照することで、実際に悪用が確認された脆弱性との照合も可能となり、より実践的なリスクベースの脆弱性管理が実現する。
共有ボタンをタップ