EPSS(Exploit Prediction Scoring System)を活用した脆弱性管理

  • 2023-10-11

脆弱性対応を取り巻く背景

多くの組織においては、脆弱性管理を行う際にCVSSを活用しており、脆弱性管理におけるデファクトスタンダードになっています。しかし、過去のSSVC(Stakeholder-Specific Vulnerability Categorization)の解説などで説明した通り、CVSSは脆弱性の深刻度を評価する仕組みであり、脆弱性が悪用されるリスクそのものを示していないという欠点があります。

組織はリソースの都合上、全ての脆弱性に対応することが困難なため、対応する脆弱性の取捨選択を迫られますが、CVSSの基本評価基準はネットワーク経由からの攻撃可否、攻撃を成立させるためのユーザー関与の要否など、脆弱性の基本的な性質に基づいた深刻度のみを示しており、自社にとっての意思決定に関するガイドとしては活用できません。したがって、組織は脆弱性の悪用状況や自社への影響なども踏まえて、脆弱性対応における意思決定プロセスを自ら策定する必要があります。

これに対し、EPSSは脆弱性が悪用される蓋然性をスコアリングすることができるため、対応すべき脆弱性を効率的に取捨選択し、自社の脆弱性対応の意思決定プロセスを強力にサポートする可能性を秘めています。

EPSSの仕組み

EPSSのパラメータ

EPSS v2では、各CVE(Common Vulnerability Enumeration)に対してスコア(EPSS Probability)とPercentileを提供します。それぞれが示す意味は以下の通りです。

EPSS Probability

今後30日の間に脆弱性が悪用される確率。

0~100の値で表され、100に近づくほど脆弱性が悪用される確率が高まる。

Percentile

EPSSのスコア(Probability)が全体でどの位置にいるか(ランク)を相対的に示す値。

スコアが実際に起こりうる確率を示しているのに対して、パーセンタイルは脆弱性全体で見た際の当該脆弱性よりスコアが低い脆弱性の割合を示している。

例)
値が0.99の脆弱性の場合:悪用される確率が上から数えて1%の位置
値が0.4の脆弱性の場合:悪用される確率が上から数えて60%の位置

例えば、2023年にIPAによって注意喚起が行われたCVE-2023-22043のスコアは、2023年9月中旬現在で次のような値となります。

CVE EPSS Probability Percentile
CVE-2023-22043 0.00056 0.21477

この場合、CVE-2023-22043が今後30日以内に利用される確率は0.056%で、脆弱性全体の位置で見ると約79.5%の位置にいることが分かります。すなわち、EPSSでスコア化されている脆弱性全体のうち79.5%の脆弱性はCVE-2023-22043より悪用される可能性が高いことを示しています。

EPSSスコアの計算方法

EPSSのスコアは大規模なインプットデータとXGBoostと呼ばれる機械学習のアルゴリズムを利用して計算が行われており、EPSS v2のリリース時点では1,100を超えるインプットをベースとして、スコアを計算しています。インプットの代表的な例としては下記のようなものがあります。

  • MITREのCVEリストへの掲載有無
  • CVEが公開されてからの日数
  • CVEに関連するRefecence(参考URL)の数
  • Metasploit, ExploitDB, Githubのいずれかで公開されているか
  • NVD(National Vulnerability Database)で公開されているCVSS v3の基本評価基準のスコア など

上記に記載した以外にも各種セキュリティベンダーのレポート、研究者やホワイトハッカーが公開したデータなどの多くのインプットを取り込んでいます。また、マイナーアップデートにより日々ソースなどは追加され、2023年9月現在では1,400を超えるインプットがスコアリングに利用されています。

EPSSスコアの提供方法

EPSSは日々収集したインプットによってスコアリングされているため、時間が経過するとスコアも変動します。大規模なインプットおよび複雑な計算式よりスコアが算出されていることからEPSSのスコアをローカルで計算するためのツールなどは公開されておらず、現在はFIRSTにより日次で更新・提供が行われています。

EPSSのスコアはFIRSTのWebページまたはAPIを通じて入手することができます。

EPSSの効果

EPSSを開発したFIRSTの調査によると、公開された脆弱性のうち実際に悪用されている脆弱性は全体の2~7%であるという調査結果が報告されています。すなわち、脆弱性の多くは対処を行っても実際には悪用されない可能性があるとも言えるでしょう。

EPSSの効果を示すシミュレーションとして、次のような結果が公表されています。

公開された脆弱性のうち悪用された脆弱性の半数に対処することを目的とした際に、CVSSの基本評価基準を利用した場合と、EPSSを利用した場合ではそれぞれ何件の脆弱性に対処する必要があるかを示すものです。

この結果によると、悪用された脆弱性の約半数に対処しようとした場合、CVSS v3の基本評価基準のみを利用した場合は、基本評価基準の値が上位25.3%のものに対処する必要があるのに対し、EPSS v2ではEPSSのスコアが上位4.7%のスコアのものに対処すればよいという結果が出ています。

すなわち、CVSS v3のスコアのみで脆弱性対応を行った場合、その多くは実際には悪用されない可能性が高く、EPSSのスコアにより脆弱性の対処を行った場合、その多くが実際に悪用される可能性が高いという結果になります。

このことから、EPSSを活用することで対処すべき脆弱性をより絞ることができ、脆弱性対応のリソースを効率的に活用できるようになると言えます。

EPSSは脆弱性悪用におけるリスクの大きさを考慮しない

EPSSは脆弱性対応の意思決定を行うために非常に有用なツールではありますが、EPSS単体で使用して意思決定を行うことは推奨されていません。その理由としては、EPSSはあくまでも脆弱性が悪用される可能性のみを示しているためです。

EPSSは今後30日間の間に世の中で悪用される可能性を示したものであり、リスクの大きさは考慮されていません。EPSSのスコアが低くても、悪用された場合の影響が大きい脆弱性(例えば、権限昇格など)である可能性はあります。

つまり、EPSSのスコアのみを意思決定に利用すると、悪用された場合の影響が大きい脆弱性が放置され、当該脆弱性によって大きな影響を受けるリスクがあると言えます。

EPSSは「優先的に対処すべき脆弱性を判断する1つの指標」であり、実際の脆弱性対応においては、世の中の動向、当該システムのアクセスのしやすさ、保持している情報、侵害された場合の影響などを考慮し、自社にとってリスクの高い脆弱性への対処を行う必要があるでしょう。

実際にFIRSTでも、「他に活発な攻撃の証拠がない場合に使用することが適している」とあり、明らかに攻撃が行われていることが判明している脆弱性についてはその対処の方が優先されると述べられています。

自社で対応すべき脆弱性が数多く存在するがリソースが不足している場合など、脆弱性対応に優先順位を定めて対応しなければいけないシーンなどでEPSSは活用できるでしょう。

EPSSの活用例:CVSSとの併用

最後に、EPSSの活用例として、CVSSとの併用について解説します。FIRSTにより、2021年5月のデータにおけるEPSSとCVSS v3.1のスコアの相関関係が公開されています。

上記の図からは、CVSSのスコアが高くても悪用される可能性が高いとは必ずしも言えず、CVSSのスコアはEPSSスコアと密接な相関関係にはないことが読み取れます。例えば、CVSSのスコアが10の脆弱性の場合とCVSSが5~6のスコアの脆弱性の分布を見比べた場合、そのいずれもEPSSのスコアの大半は0.2(20%)以下に位置しています。このように、CVSSのスコアが高い深刻な脆弱性が集中的に悪用されるわけではないといえるでしょう。

上記の図では上に行くほど脆弱性が悪用される可能性が高く、右に行くほど脆弱性そのもののリスクが大きいことを示しているため、右上に位置する脆弱性は他より優先して対応すべき脆弱性であり、左下に位置する脆弱性は優先度を下げてもよい脆弱性であるという考え方ができます。

このようにEPSSを併用することで、CVSS単体では不可能であった、同じCVSSのスコアの脆弱性を区別して対応の優先順位をつけることができます。

終わりに

公開された脆弱性に対して実際に企業が対応できる脆弱性は、わずか5~20%程度であると言われています。各組織の運用現場を見ると、対応する脆弱性の基準やパッチを適用するまでの日数など、脆弱性対応のプロセスは定まっているものの、対応すべき脆弱性の数が多すぎるがゆえにリソースが不足し、対応が遅延しているなどのケースが散見されます。

EPSSの登場によって、これまで課題であった脆弱性対応の優先度付けが解消され、リソースを効率的に活用することが期待できます。

執筆者

村上 純一

パートナー, PwCコンサルティング合同会社

Email

松原 翔太

シニアマネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

本ページに関するお問い合わせ