EPSS（Exploit Prediction Scoring System）を活用した脆弱性管理

EPSSの仕組み

EPSSのパラメータ

EPSS v2では、各CVE（Common Vulnerability Enumeration）に対してスコア（EPSS Probability）とPercentileを提供します。それぞれが示す意味は以下の通りです。

例えば、2023年にIPAによって注意喚起が行われたCVE-2023-22043のスコアは、2023年9月中旬現在で次のような値となります。

この場合、CVE-2023-22043が今後30日以内に利用される確率は0.056％で、脆弱性全体の位置で見ると約79.5％の位置にいることが分かります。すなわち、EPSSでスコア化されている脆弱性全体のうち79.5％の脆弱性はCVE-2023-22043より悪用される可能性が高いことを示しています。

EPSSスコアの計算方法

EPSSのスコアは大規模なインプットデータとXGBoostと呼ばれる機械学習のアルゴリズムを利用して計算が行われており、EPSS v2のリリース時点では1,100を超えるインプットをベースとして、スコアを計算しています。インプットの代表的な例としては下記のようなものがあります。

• MITREのCVEリストへの掲載有無
• CVEが公開されてからの日数
• CVEに関連するRefecence（参考URL）の数
• Metasploit, ExploitDB, Githubのいずれかで公開されているか
• NVD（National Vulnerability Database）で公開されているCVSS v3の基本評価基準のスコア など

上記に記載した以外にも各種セキュリティベンダーのレポート、研究者やホワイトハッカーが公開したデータなどの多くのインプットを取り込んでいます。また、マイナーアップデートにより日々ソースなどは追加され、2023年9月現在では1,400を超えるインプットがスコアリングに利用されています。

EPSSスコアの提供方法

EPSSは日々収集したインプットによってスコアリングされているため、時間が経過するとスコアも変動します。大規模なインプットおよび複雑な計算式よりスコアが算出されていることからEPSSのスコアをローカルで計算するためのツールなどは公開されておらず、現在はFIRSTにより日次で更新・提供が行われています。

EPSSのスコアはFIRSTのWebページまたはAPIを通じて入手することができます。

EPSSは脆弱性悪用におけるリスクの大きさを考慮しない

EPSSは脆弱性対応の意思決定を行うために非常に有用なツールではありますが、EPSS単体で使用して意思決定を行うことは推奨されていません。その理由としては、EPSSはあくまでも脆弱性が悪用される可能性のみを示しているためです。

EPSSは今後30日間の間に世の中で悪用される可能性を示したものであり、リスクの大きさは考慮されていません。EPSSのスコアが低くても、悪用された場合の影響が大きい脆弱性（例えば、権限昇格など）である可能性はあります。

つまり、EPSSのスコアのみを意思決定に利用すると、悪用された場合の影響が大きい脆弱性が放置され、当該脆弱性によって大きな影響を受けるリスクがあると言えます。

EPSSは「優先的に対処すべき脆弱性を判断する1つの指標」であり、実際の脆弱性対応においては、世の中の動向、当該システムのアクセスのしやすさ、保持している情報、侵害された場合の影響などを考慮し、自社にとってリスクの高い脆弱性への対処を行う必要があるでしょう。

実際にFIRSTでも、「他に活発な攻撃の証拠がない場合に使用することが適している」とあり、明らかに攻撃が行われていることが判明している脆弱性についてはその対処の方が優先されると述べられています。

自社で対応すべき脆弱性が数多く存在するがリソースが不足している場合など、脆弱性対応に優先順位を定めて対応しなければいけないシーンなどでEPSSは活用できるでしょう。

終わりに

公開された脆弱性に対して実際に企業が対応できる脆弱性は、わずか5～20％程度であると言われています。各組織の運用現場を見ると、対応する脆弱性の基準やパッチを適用するまでの日数など、脆弱性対応のプロセスは定まっているものの、対応すべき脆弱性の数が多すぎるがゆえにリソースが不足し、対応が遅延しているなどのケースが散見されます。

EPSSの登場によって、これまで課題であった脆弱性対応の優先度付けが解消され、リソースを効率的に活用することが期待できます。