EPSSとは?脆弱性の悪用確率で優先度を決める
目次
EPSSとは
EPSS(Exploit Prediction Scoring System) は、FIRSTが提供する脆弱性の悪用予測スコアリングシステムです。各CVE脆弱性が今後30日以内に実際に悪用される確率を0〜1(0%〜100%)で表します。
CVSSが脆弱性の「技術的な深刻度」を測るのに対し、EPSSは「実際に攻撃に使われる可能性」を測ります。この違いが脆弱性管理の優先順位付けに革命的な変化をもたらします。
なぜEPSSが必要なのか
脆弱性の爆発的増加
2023年に公開された新規CVEは約29,000件。2024年にはさらに増加し、毎月2,000件以上の新たな脆弱性が報告されています。すべてに対応することは物理的に不可能です。
CVSSだけでは不十分
CVSSがCritical(9.0以上)と評価した脆弱性のうち、実際に攻撃に悪用されるのは全体の約5%未満です。逆に、CVSS Mediumと評価された脆弱性の中にも、実際に大規模な攻撃キャンペーンで使われるものがあります。
リソースの最適化
セキュリティチームのリソースは有限です。EPSSを活用することで、「本当に悪用される可能性が高い脆弱性」にリソースを集中させることができます。
EPSSの仕組み
EPSSは機械学習モデルを使用し、以下のような要素を考慮してスコアを算出します。
入力データ
- 脆弱性の特性: CVSSベクトル、CWEタイプ、影響を受ける製品
- 悪用情報: Exploit-DB、Metasploitなどの攻撃コードの有無
- 脅威インテリジェンス: ダークウェブでの言及、攻撃ツールへの組み込み
- 時間的要素: 脆弱性公開からの経過日数
スコアの特徴
- 日次更新: 新たな脅威情報に基づき毎日再計算
- 確率値: 0.0(悪用されない)〜 1.0(確実に悪用される)
- パーセンタイル: 全CVEの中での相対位置
EPSSスコアの読み方
| EPSSスコア | パーセンタイル目安 | 対応指針 |
|---|---|---|
| 0.9以上 | 上位0.1% | 即座に対応(攻撃がほぼ確実) |
| 0.5〜0.9 | 上位1% | 緊急対応 |
| 0.1〜0.5 | 上位5% | 早期対応を推奨 |
| 0.01〜0.1 | 上位20% | 計画的に対応 |
| 0.01未満 | 下位80% | リスクベースで判断 |
CVSSとEPSSの組み合わせ
CVSSとEPSSを2軸で評価することで、脆弱性を4つの象限に分類できます。
高CVSS × 高EPSS → 最優先
技術的に深刻かつ、実際に悪用される可能性が高い。即座に対応が必要。
高CVSS × 低EPSS → 計画的対応
深刻だが悪用される可能性は低い。パッチサイクルで対応。
低CVSS × 高EPSS → 要注意
深刻度は低いが攻撃者に狙われている。侵入の足がかりになる可能性がある。
低CVSS × 低EPSS → モニタリング
現時点では低リスク。定期的に再評価。
PentaTrail での EPSS 活用
PentaTrail/CTEM は発見した脆弱性に CVSS と EPSS の両スコアを表示し、両者を組み合わせた 脅威ディスカバリレベル(TDL) を算出します。さらに KEV ブーストや BI スコア と組み合わせて TER バンド を決定し、「本当に今対応すべき脆弱性」を即座に判断できます。
EPSS ベースの優先順位付けを試すには 14日間無料で始める。