話題の「EPSS」は「CVSS」と何が違うのか? 使い分けるべきケースを紹介:セキュリティニュースアラート
Mend.ioはセキュリティスコアリング指標「EPSS」について解説した。EPSSのメリットや課題、CVSSとの使い分けなどをまとめた。
Mend.ioは2024年1月3日(現地時間)、セキュリティスコアリングの新たな指標「EPSS」(Exploit Prediction Scoring System)に関する解説を公開した。
EPSSとCVSSはどう使い分ければいいのか?
EPSSはグローバルセキュリティフォーラム「FIRST」(Forum of Incident Response and Security Teams)が定めた指標で、公共部門と民間部門のボランティアによって運営されている。クローズドソースであり、EPSSスコアはFIRSTによってのみ提供され、かつIDを持つ脆弱(ぜいじゃく)性情報データベース(CVE)のみで提供される。
EPSSは共通脆弱性評価システム(CVSS)やCVEなど複数の指標を基に、今後30日間で悪用される確率の日時推定値を示す。1000以上の変数と機械学習を使ってこの予測は微調整される。スコア値は脆弱性の修復に優先順位を付けるために設計されている。
業界では脆弱性のスコア値としてCVSSがデファクトスタンダードのポジションにある。このスコアは十分に機能しているが危険性の論理値を示すものであり、実際のリスクよりも高いスコアが付きがちで、企業が対処しなければならない脆弱性の数が多くなりすぎる点が課題だ。また、CVSSのスコア値が低いものであっても簡単に使用できるエクスプロイトが存在する場合は、そのリスクはスコア値以上に高いものになるという課題もある。
Mend.ioはCVSSとEPSSの使い分けとして以下のアドバイスを送った。
- 予算が十分にあり、かつリスク許容度が低い場合はCVSSによる優先順位付けを活用する必要がある
- 予算に限りがあり、かつリスク許容度が高い場合は、EPSSによる恩恵を受けられる可能性がある
- 上記2つの中間に位置している場合には両方を使用する戦略を活用する
EPSSはCVSSよりも複雑なモデルで、リスクをスコア値として表現できるが、偽陽性と比較し極めて低いものの偽陰性が増加することにも留意する必要がある。
CVSSと比べてEPSSはアップデートの速度が早い。今後改善を続けてさらに現実的なセキュリティスコアリングシステムとして活用できる可能性があるため、今後のアップデートについても把握しておきたい。
関連記事
- 見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。 - 「EPSS」は脆弱性管理の新常識になるか? データで判明したその“効能”
フォーティネットジャパンは調査レポートを基に、ランサムウェア攻撃の最新動向と脆弱性対策における新たな判断材料となり得る「EPSS」について解説した。 - Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言
Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。 - 2023年はランサムウェアの1年だった 編集部が選ぶ主要セキュリティトピック
読者の皆さんは2023年、サイバー攻撃の被害に遭わず無事に過ごせたでしょうか。年の瀬ということで「ITmedia エンタープライズ」編集部が印象的だったセキュリティトピックを振り返ります。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.