脆弱性管理の優先順位付けに!EPSSとは?
セキュリティを知りたい
「セキュリティを高めるための知識、『EPSS』って、何ですか?よくわからないので教えてください。」
セキュリティ研究家
「EPSS」は、簡単に言うと、あるコンピュータの弱点が見つかったとき、それが実際に悪い人に利用される可能性がどれくらい高いかを点数化するものです。高い点数だと危険性が高いということになります。
セキュリティを知りたい
なるほど。でも、コンピュータの弱点が見つかったら、すぐに直せばいいんじゃないですか?
セキュリティ研究家
それは理想ですが、毎日たくさんの弱点が見つかるので、全部にすぐに対処するのは難しいです。そこで、EPSSを使って、特に危険度の高いものから優先的に対処していくんです。
EPSSとは。
セキュリティーを強化するための知識として、『EPSS』というものがあります。『EPSS』(正式名称:The Exploit Prediction Scoring System)は、FIRSTという団体が管理している、脆弱性と呼ばれるシステムの弱点が実際に悪用される可能性を評価するシステムです。
似たようなシステムに『CVSS』がありますが、こちらは脆弱性自体が持つ危険性を評価するのに対し、『EPSS』はあくまでもその脆弱性が実際に悪用される可能性の高さに焦点を当てています。具体的には、今後30日以内にその脆弱性が悪意のある人に利用されてしまう確率を0%から100%の間で計算します。
ソフトウェアやハードウェアの脆弱性は毎日のように発見されていますが、その全てが悪用されるわけではありませんし、セキュリティー担当者が対応できる数にも限りがあります。『EPSS』は、数ある脆弱性の中でも特に悪用される可能性の高いものを選別することで、限られた時間と資源の中で効率的にセキュリティー対策を行うことを目的としています。
『EPSS』は、様々な情報を元にスコアを算出しています。例えば、『MITRE CVEリスト』と呼ばれる脆弱性情報のデータベースや、その脆弱性に関する説明文、脆弱性が発見されてからの経過日数、攻撃コードが公開されているか、’CVSS’スコア、脅威に関する情報などを機械学習モデルを使って分析し、自動的に数値を計算します。
それぞれの脆弱性に対する『EPSS』スコアや、スコアの算出方法、『API』と呼ばれるシステム連携の仕組みなどは、FIRSTが運営するウェブサイトで公開されています。
脆弱性の脅威とEPSS
情報技術の進化は目覚ましく、私たちの生活は便利で豊かになりました。しかし、その裏側では、日々新たに発見されるソフトウェアやハードウェアの脆弱性という課題も増え続けています。セキュリティ対策の担当者であっても、膨大な数の脆弱性情報に対応することは容易ではありません。しかし、すべての脆弱性が実際に悪用されるわけではありません。そこで、脆弱性の脅威を客観的に評価する指標として登場したのがEPSSです。
EPSSは、アメリカ合衆国の非営利団体FIRSTが運営する脆弱性悪用スコアリング・システムです。EPSSは、公開された脆弱性情報に基づいて、実際に悪用される可能性を数値化し、0から10までのスコアで評価します。スコアが高いほど悪用される危険性も高くなるため、組織はEPSSのスコアを参考に、優先的に対処すべき脆弱性を迅速に見極めることができます。
EPSSは、脆弱性情報の技術的な詳細に加えて、悪意のある攻撃者がその脆弱性を利用する容易さや、攻撃が成功した場合の影響の大きさなども考慮してスコアを算出します。そのため、組織は限られた資源を有効活用し、より効率的かつ効果的なセキュリティ対策を実施することが可能になります。EPSSは、セキュリティ対策の担当者にとって心強い味方と言えるでしょう。
| 項目 | 説明 |
|---|---|
| 脆弱性の現状 | 情報技術の進化に伴い、日々新たな脆弱性が発見されている。セキュリティ対策担当者にとって、膨大な数の脆弱性情報への対応は容易ではない。 |
| EPSSの定義 | 脆弱性の脅威を客観的に評価する指標。アメリカ合衆国の非営利団体FIRSTが運営する脆弱性悪用スコアリング・システム。 |
| EPSSの評価方法 | 公開された脆弱性情報に基づいて、実際に悪用される可能性を数値化し、0から10までのスコアで評価。スコアが高いほど悪用される危険性も高くなる。 |
| EPSSで考慮される要素 | – 脆弱性情報の技術的な詳細 – 悪意のある攻撃者がその脆弱性を利用する容易さ – 攻撃が成功した場合の影響の大きさ |
| EPSSのメリット | – 優先的に対処すべき脆弱性を迅速に見極められる – 限られた資源を有効活用し、より効率的かつ効果的なセキュリティ対策を実施できる |
EPSSとCVSSの違い
– EPSSとCVSSの違い
システムやソフトウェアの脆弱性対策を行う上で、その危険度を正しく把握することは非常に重要です。脆弱性の深刻さを評価する指標として、CVSSとEPSSが使われています。どちらも重要な指標ですが、それぞれ異なる側面から評価を行っているため、その違いを理解しておく必要があります。
CVSSは、「共通脆弱性評価システム」と呼ばれる指標で、脆弱性そのものが持つ技術的な危険度を評価します。具体的には、脆弱性の影響範囲、攻撃の容易性、認証の必要性といった要素を基に、基本スコアを算出します。このスコアは0から10までの数値で表され、数値が大きいほど危険度が高いことを示します。
一方、EPSSは「脅威への暴露確率」と呼ばれる指標で、ある脆弱性が実際に悪用される可能性を0%から100%の間で示します。つまり、EPSSは脅威が現実の世界でどの程度発生しやすいかという観点から評価を行います。具体的には、攻撃コードの公開状況や攻撃の標的となる可能性、悪用された場合の経済的損失といった要素を考慮して算出されます。
例えば、ある脆弱性がCVSSのスコアでは非常に危険度が高いと評価されていても、その脆弱性を悪用する攻撃ツールが公開されていなかったり、攻撃の対象となるシステムが限られている場合は、EPSSのスコアは低くなる可能性があります。
このように、CVSSとEPSSは異なる視点から脆弱性の評価を行う指標であるため、両方を組み合わせて総合的に判断することが重要です。CVSSで脆弱性の技術的な危険度を把握し、EPSSでその脆弱性が実際に悪用される可能性を評価することで、より効果的な対策を講じることができます。
| 項目 | CVSS | EPSS |
|---|---|---|
| 正式名称 | 共通脆弱性評価システム | 脅威への暴露確率 |
| 評価の視点 | 脆弱性そのものが持つ技術的な危険度 | 脆弱性が実際に悪用される可能性 |
| スコア | 0~10 数値が高いほど危険 |
0~100% 数値が高いほど悪用される可能性が高い |
| 考慮する要素 | – 影響範囲 – 攻撃の容易性 – 認証の必要性 |
– 攻撃コードの公開状況 – 攻撃の標的となる可能性 – 悪用された場合の経済的損失 |
EPSSがもたらす利点
– EPSSがもたらす利点
EPSSは、情報セキュリティ対策において、限られた人員や予算を有効活用するための強力なツールとして、近年注目されています。膨大な数の脆弱性情報の中から、実際に攻撃される可能性が高い重要な脆弱性を効率的に特定し、優先順位をつけて対策していくために役立ちます。
EPSSは、脆弱性ごとにスコア(0から10までの数値)でリスクのレベルを示してくれるため、セキュリティ担当者はどの脆弱性から対処すべきかを容易に判断できます。従来のように、発見された順番や重要度が分かりづらいCVE情報と比較して、EPSSはより実践的な指標と言えます。
EPSSの高い脆弱性から優先的に対処することで、限られたリソースを最大限に活用し、組織全体のセキュリティレベルを効果的に高めることができます。さらに、EPSSは具体的な数値でリスクを可視化できるため、経営層への報告やセキュリティ対策予算の確保、対策の必要性を理解してもらうための説明資料としても非常に有効です。
| 項目 | 内容 |
|---|---|
| EPSSの定義 | 情報セキュリティ対策において、限られた人員や予算を有効活用するためのツール。膨大な脆弱性情報から、攻撃される可能性が高い重要な脆弱性を効率的に特定し、優先順位を付けて対策していく。 |
| EPSSの特徴 | 脆弱性ごとにスコア(0から10までの数値)でリスクレベルを示すため、どの脆弱性から対処すべきかを容易に判断できる。 |
| EPSSのメリット | – 限られたリソースを最大限に活用し、組織全体のセキュリティレベルを効果的に高めることができる。 – 具体的な数値でリスクを可視化できるため、経営層への報告やセキュリティ対策予算の確保、対策の必要性を理解してもらうための説明資料としても有効。 |
EPSSスコアの算出方法
– EPSSスコアの算出方法EPSSは、専門家の経験や勘だけに頼るのではなく、膨大な量のデータと機械学習を駆使してスコアを算出しています。具体的には、過去の脆弱性に関する情報を集めたMITRE CVEリストや、それぞれの脆弱性の詳細な内容、公表からどれだけの時間が経過したか、実際に攻撃できることを示す概念実証(PoC)や攻撃コードが存在するかどうか、広く知られるCVSSスコア、そしてセキュリティ専門機関による脅威に関する分析結果など、様々な要素を考慮に入れています。これらの多岐にわたる情報を機械学習で分析することで、ある脆弱性が実際に悪用される可能性を高い精度で予測し、0から100までの数値で表しています。このスコアは、単なる危険度の高さだけでなく、実際に攻撃される可能性を時間軸も加味して評価しているため、より実務的な対策の優先順位付けに役立ちます。
| 要素 | 説明 |
|---|---|
| MITRE CVEリスト | 過去の脆弱性に関する情報 |
| 脆弱性の詳細な内容 | 脆弱性の深刻度、影響範囲などを評価 |
| 公表からの経過時間 | 時間の経過とともに攻撃される可能性が高くなる |
| 概念実証(PoC)や攻撃コードの存在 | 攻撃の可能性が具体的に示される |
| CVSSスコア | 脆弱性の深刻度を評価する指標 |
| セキュリティ専門機関による脅威分析結果 | 専門家の知見や最新の脅威情報を反映 |
EPSSの活用
– EPSSの活用
近年、サイバー攻撃の巧妙化・複雑化が進んでおり、企業や組織にとっては、自社のシステムにおける脆弱性の把握と対策がますます重要となっています。このような状況下で注目されているのが、悪用可能性評価(Exploit Prediction Scoring System EPSS)です。
EPSSとは、公表された脆弱性が実際に悪用される可能性を数値化した指標です。アメリカの非営利団体FIRSTが提供しており、ウェブサイト上で公開されています。FIRSTのウェブサイトでは、個々の脆弱性に対してCVE識別番号と共にEPSSスコアが掲載されているほか、スコアリングの算出根拠やAPIなども提供されています。
セキュリティ担当者は、EPSSを活用することで、膨大な数の脆弱性情報の中から、自組織のシステムにとって特に危険性の高い脆弱性を効率的に特定することができます。具体的には、EPSSスコアを参照することで、緊急性の高い脆弱性から優先的に対策を講じることが可能となります。
EPSSはあくまでも予測に基づく指標であるため、EPSSスコアが低いからといって、その脆弱性の脅威が低いわけではありません。しかし、限られたリソースの中で効率的にセキュリティ対策を行うためには、EPSSは非常に有効なツールと言えるでしょう。
| 項目 | 内容 |
|---|---|
| EPSSとは | 公表された脆弱性が実際に悪用される可能性を数値化した指標 |
| 提供元 | アメリカの非営利団体FIRST |
| 情報入手先 | FIRSTのウェブサイト |
| ウェブサイトでの情報提供内容 | 個々の脆弱性に対するCVE識別番号、EPSSスコア、スコアリングの算出根拠、APIなど |
| メリット | 膨大な数の脆弱性情報の中から、自組織のシステムにとって特に危険性の高い脆弱性を効率的に特定できる。緊急性の高い脆弱性から優先的に対策を講じることが可能。 |
| 注意点 | EPSSはあくまでも予測に基づく指標であるため、EPSSスコアが低いからといって、その脆弱性の脅威が低いわけではない。 |