話題の「EPSS」は「CVSS」と何が違うのか？ 使い分けるべきケースを紹介：セキュリティニュースアラート

Mend.ioはセキュリティスコアリング指標「EPSS」について解説した。EPSSのメリットや課題、CVSSとの使い分けなどをまとめた。

[後藤大地，有限会社オングス]

　Mend.ioは2024年1月3日（現地時間）、セキュリティスコアリングの新たな指標「EPSS」（Exploit Prediction Scoring System）に関する解説を公開した。

Mend.ioはEPSSに関する解説を公開した（出典：Mend.ioのWebサイト）

EPSSとCVSSはどう使い分ければいいのか？

　EPSSはグローバルセキュリティフォーラム「FIRST」（Forum of Incident Response and Security Teams）が定めた指標で、公共部門と民間部門のボランティアによって運営されている。クローズドソースであり、EPSSスコアはFIRSTによってのみ提供され、かつIDを持つ脆弱（ぜいじゃく）性情報データベース（CVE）のみで提供される。

　EPSSは共通脆弱性評価システム（CVSS）やCVEなど複数の指標を基に、今後30日間で悪用される確率の日時推定値を示す。1000以上の変数と機械学習を使ってこの予測は微調整される。スコア値は脆弱性の修復に優先順位を付けるために設計されている。

　業界では脆弱性のスコア値としてCVSSがデファクトスタンダードのポジションにある。このスコアは十分に機能しているが危険性の論理値を示すものであり、実際のリスクよりも高いスコアが付きがちで、企業が対処しなければならない脆弱性の数が多くなりすぎる点が課題だ。また、CVSSのスコア値が低いものであっても簡単に使用できるエクスプロイトが存在する場合は、そのリスクはスコア値以上に高いものになるという課題もある。

　Mend.ioはCVSSとEPSSの使い分けとして以下のアドバイスを送った。

• 予算が十分にあり、かつリスク許容度が低い場合はCVSSによる優先順位付けを活用する必要がある
• 予算に限りがあり、かつリスク許容度が高い場合は、EPSSによる恩恵を受けられる可能性がある
• 上記2つの中間に位置している場合には両方を使用する戦略を活用する

　EPSSはCVSSよりも複雑なモデルで、リスクをスコア値として表現できるが、偽陽性と比較し極めて低いものの偽陰性が増加することにも留意する必要がある。

　CVSSと比べてEPSSはアップデートの速度が早い。今後改善を続けてさらに現実的なセキュリティスコアリングシステムとして活用できる可能性があるため、今後のアップデートについても把握しておきたい。