背景:脆弱性の急増とCVSSの限界

  • 2024年5月には、月間で 5,023件 の脆弱性が公開され、1日平均 約170件 に達しました。
  • NISTの予算削減により、CVSSスコアの解析待ち(Awaiting Analysis)となる脆弱性が急増し、CVSSによる評価が追いつかない状況が続いています。
  • CVSSは脆弱性の「深刻度」を評価する指標であり、「悪用される可能性」までは示していません。

トリアージの重要性

  • 年間2万〜3万件の脆弱性が報告される中、実際に悪用されるのはわずか2〜7%程度
  • 組織のリソースには限りがあり、すべての脆弱性に対応するのは不可能
  • そのため、 優先順位をつけて対応する「トリアージ」 が不可欠です。

EPSSとは?

EPSS(Exploit Prediction Scoring System)は、今後30日以内に脆弱性が悪用される確率を予測する指標です。

  • 開発元:FIRST(Forum of Incident Response and Security Teams)
  • 最新バージョン:EPSS v2(2022年公開)
  • 機械学習(XGBoost)を用いて、1,400以上のインプットデータからスコアを算出

EPSSの指標

指標説明EPSS Probability今後30日以内に悪用される確率(0〜1)| Percentile | 全体の中での相対的な位置(例:上位5%など) |

EPSSの効果と活用方法

  • EPSSを使えば、悪用される可能性が高い脆弱性を効率的に特定できます。
  • シミュレーションによると、CVSSだけで対応する場合は上位**25.3%の脆弱性に対応する必要がありますが、EPSSでは上位4.7%**で済むという結果も。

EPSSの調べ方

Webで確認する方法

  • FIRST公式サイト: [https://www.first.org/epss/] からダウンロード
  • CVE Details: [https://www.cvedetails.com/] から各CVEを検索しEPSS値も確認可能

APIで取得する方法(例)

curl ‘https://api.first.org/data/v1/epss?cve=CVE-2023-38408

CVSSとEPSSの併用が理想

  • CVSSは「深刻度」、EPSSは「悪用される可能性」を示す。
  • 両者を併用することで、本当に対応すべき脆弱性を絞り込むことが可能。
  • 例えば、CVSSが高くてもEPSSが低ければ、対応の優先度を下げる判断もできる
  • 加えて、対象資産の重要度(機密データ保持など)による判断も。

まとめ

  • 脆弱性の急増により、CVSSだけでは対応が追いつかない。
  • EPSSを活用することで、限られたリソースを効率的に使い、リスクの高い脆弱性から優先的に対応できる。
  • トリアージの精度を高めるためにも、EPSSの導入を検討してみてはいかがでしょうか。