Mend.ioはセキュリティスコアリング指標「EPSS」について解説した。EPSSのメリットや課題、CVSSとの使い分けなどをまとめた。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Mend.ioは2024年1月3日(現地時間)、セキュリティスコアリングの新たな指標「EPSS」(Exploit Prediction Scoring System)に関する解説を公開した。
EPSSはグローバルセキュリティフォーラム「FIRST」(Forum of Incident Response and Security Teams)が定めた指標で、公共部門と民間部門のボランティアによって運営されている。クローズドソースであり、EPSSスコアはFIRSTによってのみ提供され、かつIDを持つ脆弱(ぜいじゃく)性情報データベース(CVE)のみで提供される。
EPSSは共通脆弱性評価システム(CVSS)やCVEなど複数の指標を基に、今後30日間で悪用される確率の日時推定値を示す。1000以上の変数と機械学習を使ってこの予測は微調整される。スコア値は脆弱性の修復に優先順位を付けるために設計されている。
業界では脆弱性のスコア値としてCVSSがデファクトスタンダードのポジションにある。このスコアは十分に機能しているが危険性の論理値を示すものであり、実際のリスクよりも高いスコアが付きがちで、企業が対処しなければならない脆弱性の数が多くなりすぎる点が課題だ。また、CVSSのスコア値が低いものであっても簡単に使用できるエクスプロイトが存在する場合は、そのリスクはスコア値以上に高いものになるという課題もある。
Mend.ioはCVSSとEPSSの使い分けとして以下のアドバイスを送った。
EPSSはCVSSよりも複雑なモデルで、リスクをスコア値として表現できるが、偽陽性と比較し極めて低いものの偽陰性が増加することにも留意する必要がある。
CVSSと比べてEPSSはアップデートの速度が早い。今後改善を続けてさらに現実的なセキュリティスコアリングシステムとして活用できる可能性があるため、今後のアップデートについても把握しておきたい。
Copyright © ITmedia, Inc. All Rights Reserved.