脆弱性
EPSS(エクスプロイト予測スコアリングシステム)
別称: EPSS スコア
定義
FIRST が維持するデータ駆動型モデルで、ある CVE が今後 30 日以内に実環境で悪用される確率を推定する。
EPSS は機械学習と実世界の信号(公開済みエクスプロイト、脅威インテリジェンスのテレメトリ、ベンダーアドバイザリ、SNS の言及など)を組み合わせ、各 CVE に対して確率(0〜1)とパーセンタイルの 2 値を出力します。CVSS が「理論的にどれほど深刻か」を示すのに対し、EPSS は「短期間に実際に悪用される可能性はどれほどか」に答えます。脆弱性管理プログラムでは、CVSS が高くても EPSS が極めて低いものは後回しにし、CVSS が中程度でも EPSS が高く KEV にも掲載されているものを優先する、といった大量の積み残しのトリアージに用いられます。スコアは日次で更新されます。
例
- EPSS 確率 0.97、パーセンタイル 99 の CVE — ほぼ確実に悪用されている。
- CVSS 9.8 だが EPSS 0.001 の脆弱性 — 深刻だが直近で攻撃される可能性は低い。
関連用語
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
CVSS(共通脆弱性評価システム)
FIRST が維持するオープンなフレームワークで、脆弱性の悪用特性と影響に基づき 0〜10 の深刻度スコアを算出する。
既知の悪用された脆弱性(KEV)
実環境での悪用が CISA(米国)によって確認され、公開 KEV カタログに追加された CVE。米連邦機関に対する修正期限の対象となる。
脆弱性
システム、アプリケーション、または運用プロセスに存在する弱点で、攻撃者が機密性・完全性・可用性を侵害するために悪用できるもの。
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。