脅威ディスカバリレベル（TDL）とは

なぜ新しい優先順位付けが必要なのか

セキュリティチームが直面する最大の課題は、膨大な脆弱性の中から真に対応すべきものを見極める ことです。

年間約 30,000 件の新規 CVE が公開される
そのうち Critical（CVSS 9.0 以上）は約 15%
しかし実際に攻撃で悪用されるのは全体の 2〜5%

CVSS スコアだけで優先順位を付けると、実際にはリスクの低い脆弱性に貴重なリソースを浪費しがちです。結果として、本当に危険な脆弱性への対応が遅れる可能性もあります。

脅威ディスカバリレベル（Threat Discovery Level、TDL） は、PentaTrail/CTEM が採用する脆弱性のランク付け指標です。CVSS（技術的深刻度）と EPSS（悪用確率）から、脆弱性を 5 段階のランクに分類します。tdl5 が最も深刻なレベルで、tdl1 は軽微なレベルです。

算出の考え方

TDL は次の 2 つの軸を統合します。

技術的深刻度（CVSS）

脆弱性が悪用されたときの影響度
攻撃の容易さ（攻撃元区分、複雑さ、必要な特権）

悪用確率（EPSS）

今後 30 日間に悪用される確率
攻撃コードの有無、ダークウェブでの言及

ベース TDL の決定表

条件	TDL
CVSS ≥ 9 かつ EPSS ≥ 0.1	tdl5
CVSS ≥ 9	tdl4
CVSS ≥ 7 かつ EPSS ≥ 0.1	tdl4
CVSS ≥ 7	tdl3
CVSS ≥ 4 かつ EPSS ≥ 0.1	tdl3
CVSS ≥ 4	tdl2
EPSS ≥ 0.1	tdl2
その他	tdl1

実効 TDL — 3 つの補正項

ベース TDL に対して、PentaTrail は以下の 3 つの補正を適用し、実効 TDL を決定します。

Evidence Grade 補正

検出エビデンスの品質に応じて TDL を 0〜3 段階引き下げます。多重ソースで検出された所見や能動検証で確認済みの所見は引き下げ無し（Grade A）、外部 CVE 情報のみが根拠の所見は最大 3 段階引き下げ（Grade D）です。

AI ディープスキャン結果の反映

PentaTrail は対象を能動的にスキャンします。確認できなかった所見は「外部から到達できない、または既に修正されている可能性が高い」と判断し、TDL を 1 段階引き下げます。

KEV ブースト

KEV（Known Exploited Vulnerabilities）に掲載された脆弱性は、実際の攻撃で悪用が確認されているため、TDL を 1 段階引き上げます。

各補正の詳細は脅威エクスポージャーリスクを参照してください。

従来手法との比較

手法	対応件数（年間）	課題
CVSS Critical のみ対応	約 4,500 件	一部の重要脆弱性を見逃す
CVSS High 以上対応	約 15,000 件	多くが低リスク、リソース過大
TDL ベース対応	約 1,500 件	実際に危険な脆弱性に集中

TDL を採用することで、対応件数を大幅に削減しつつ、リスク低減効果を最大化できます。

ダッシュボードでの表示

PentaTrail のダッシュボードでは、TDL に応じて脆弱性を色分け表示します。各脆弱性のカードには CVSS スコア、EPSS スコア、Evidence Grade、KEV 該当有無が併記され、なぜその TDL になったのかを一目で確認できます。

TER との関係

TDL は 技術リスクの軸 です。これに ビジネスリスクの軸 であるビジネスインパクト（BI）スコアを掛け合わせると、組織が直面する真のリスクである 脅威エクスポージャーリスク（TER） が得られます。

まとめ

脆弱性管理の成否は、限られたリソースを 最も効果的に配分 できるかにかかっています。CVSS だけに頼る従来の手法から、EPSS・KEV・Evidence Grade・AI ディープスキャンを組み合わせた TDL への移行は、セキュリティチームの生産性とリスク低減効果を大きく向上させます。

PentaTrail/CTEM で TDL ベースの脆弱性管理を始めたい方は、14日間無料で始める。

脅威ディスカバリレベル（TDL）とは — CVSS × EPSS による脆弱性ランク付け

なぜ新しい優先順位付けが必要なのか