脆弱性管理の新たな指標:EPSSとは
セキュリティを高めたい
「EPSS」って、情報セキュリティの用語で聞いたことがあるんですけど、どんなものか教えてください。
情報セキュリティ専門家
「EPSS」は、コンピューターの弱点が見つかったとき、それが実際に悪用される可能性を予測して点数をつけるシステムのことだよ。
セキュリティを高めたい
弱点が見つかったとき、それがどれくらい危ないか分かるってことですか?
情報セキュリティ専門家
その通り! どれくらい急いで対策しないといけないかを判断するのに役立つシステムなんだよ。
EPSSとは。
「情報セキュリティの分野で使われる『EPSS』という用語は、攻撃されやすさを予測して点数を付ける仕組みのことです。この仕組みは、FIRSTという団体が管理しています。よく知られているCVSSという仕組みが、弱点の特徴から点数を付けるのに対し、EPSSは実際にその弱点が攻撃者に悪用される可能性の高さに注目して点数を付けます。具体的には、今後30日以内にその弱点が攻撃される確率を0%から100%の間で計算します。コンピューターや電子機器の弱点は毎日たくさん見つかっていますが、その中で実際に悪用されるものはほんの一部です。そして、セキュリティ対策を行う人が対応できるものも限られています。EPSSは、どれくらい悪用される可能性があるのかに注目することで、弱点対策の優先順位を決めたり、正確に危険性を把握したりすることを目指しています。EPSSで点数を付ける際には、MITRE CVEリスト、CVEの説明に使われている文章、CVEが公開されてからの日数、攻撃方法や実際に悪用するツールの公開状況、CVSSスコア、脅威に関する情報など、様々なデータを参照し、機械学習モデルを使って自動的に数値を計算します。CVEごとに付けられたEPSSスコアや、スコアリングモデル、APIなどは、FIRSTが運営するウェブサイトで公開されています。」
脆弱性情報の増加と管理の課題
近年、情報技術の進化は目覚ましく、私たちの生活は便利になっています。しかし、その裏では、ソフトウェアやハードウェアにおける弱点(脆弱性)が次々と見つかっており、悪用しようとする者も後を絶ちません。セキュリティ対策の責任者は、日々報告される膨大な量の脆弱性情報に圧倒され、対応に苦慮しているのが現状です。
限られた人員や時間、予算の中で、全ての脆弱性に対処することは不可能に近いです。そのため、効率的かつ効果的な対策が求められます。具体的には、それぞれの脆弱性の危険度を評価し、影響度が高いものから優先的に対処する必要があります。影響度が高いものとは、悪用された場合に業務に大きな支障をきたす可能性があるものや、機密情報が漏洩する可能性があるものなどが挙げられます。
このような状況下では、脆弱性情報の管理体制の構築が急務となっています。組織全体で脆弱性情報を一元管理し、共有することで、迅速かつ的確な対応が可能になります。また、最新のセキュリティ情報や対策技術に関する情報を常に収集し、組織全体で共有することも重要です。
情報セキュリティの現状 | 対策 |
---|---|
情報技術の進化に伴い、ソフトウェアやハードウェアの脆弱性が増加し、悪用も後を絶たない。 | 脆弱性の危険度を評価し、影響度が高いものから優先的に対処する。
|
セキュリティ対策の責任者は、膨大な量の脆弱性情報への対応に苦慮している。 | 脆弱性情報の管理体制を構築し、組織全体で脆弱性情報や最新のセキュリティ情報、対策技術を共有する。 |
EPSS:悪用される可能性に着目
近年、企業や組織が直面するサイバーセキュリティの脅威は、複雑化・巧妙化する一方です。攻撃者は日々新たな脆弱性を発見し、それを悪用して機密情報へのアクセスやシステムの破壊を試みています。このような状況下では、膨大な数の脆弱性情報の中から、自社のシステムにとって特に危険度の高いものを選別し、優先的に対策することが重要となります。しかし、従来の脆弱性評価システムであるCVSSは、脆弱性そのものの危険性を評価するものであり、実際に悪用される可能性や緊急性を判断するには不十分であるという指摘がありました。
そこで開発されたのが、新たな脆弱性評価システムであるEPSS(Exploit Prediction Scoring System)です。EPSSは、従来のCVSSとは異なり、脆弱性が今後30日間に実際に悪用される確率を0%から100%の間で算出します。具体的には、過去の攻撃事例や脆弱性の技術的な詳細、攻撃コードの公開状況といった様々な要素を機械学習によって分析することで、現実世界における脅威の大きさを定量化しています。つまり、EPSSは脅威の現実的な影響度を測る指標と言えるでしょう。このEPSSの登場により、企業はより的確に脆弱性対策の優先順位を決定し、限られた資源を有効活用することが可能となります。しかし、その一方で、EPSSの悪用といった新たな課題も浮上しつつあります。
項目 | 内容 |
---|---|
現状 | サイバー攻撃の脅威が複雑化・巧妙化しており、膨大な数の脆弱性情報から優先順位をつけて対策することが重要になっている。 |
従来の脆弱性評価システム(CVSS)の課題 | 脆弱性自体の危険性は評価できるが、悪用される可能性や緊急性を判断するには不十分。 |
新たな脆弱性評価システム(EPSS) | 脆弱性が今後30日間に実際に悪用される確率を0%から100%の間で算出。過去の攻撃事例や技術的な詳細、攻撃コードの公開状況などを機械学習で分析し、現実世界における脅威の大きさを定量化する。 |
EPSSのメリット | 脅威の現実的な影響度を測る指標となり、企業はより的確に脆弱性対策の優先順位を決定し、限られた資源を有効活用することが可能になる。 |
EPSSの課題 | 悪用の可能性もある。 |
EPSSの算出方法:多様なデータと機械学習
脆弱性対策の優先順位付けは、限られた資源を有効活用する上で非常に重要です。膨大な数の脆弱性情報の中から、実際に攻撃される可能性の高い、緊急性の高い脆弱性を特定し、優先的に対応することが求められます。このような状況下で、EPSS(Exploit Prediction Scoring System)は、組織のセキュリティ体制強化に大きく貢献する指標として注目されています。
EPSSは、過去の脆弱性データと攻撃トレンドに基づいて、新たに発見された脆弱性が実際に悪用される可能性を予測するシステムです。MITREが公開しているCVEリストや、各CVEの詳細な説明文、脆弱性の公開日からの経過日数、攻撃コードの有無、CVSSスコア、脅威インテリジェンスなど、様々なデータソースを分析し、機械学習モデルを用いてスコアを自動的に算出します。
従来のCVSSスコアは、脆弱性そのものの危険度を評価するものでしたが、実際に悪用される可能性を必ずしも反映しているわけではありませんでした。EPSSは、過去の攻撃データや脅威インテリジェンスなどの情報を加味することで、より現実に即した、実用的な脆弱性の優先順位付けを可能にします。これにより、セキュリティ担当者は、膨大な脆弱性情報の中から、本当に対処すべき重要な脆弱性に集中的に取り組むことができるようになります。
項目 | 説明 |
---|---|
EPSSの定義 | 過去の脆弱性データと攻撃トレンドに基づいて、新たに発見された脆弱性が実際に悪用される可能性を予測するシステム |
EPSSの算出根拠 | CVEリスト、CVEの詳細説明、脆弱性公開日からの経過日数、攻撃コードの有無、CVSSスコア、脅威インテリジェンスなど |
EPSSの特徴 | 過去の攻撃データや脅威インテリジェンスなどの情報を加味することで、より現実に即した、実用的な脆弱性の優先順位付けを可能にする。 |
CVSSとの違い | 脆弱性そのものの危険度を評価するCVSSに対し、EPSSは実際に悪用される可能性を予測する。 |
EPSSの活用:優先順位付けとリスク把握
昨今、組織は日々増加の一途をたどるサイバー攻撃の脅威にさらされており、セキュリティ担当者は、限られた資源と時間で効果的な対策を講じる必要性に迫られています。膨大な数の脆弱性情報の中から、どの脆弱性に優先的に対処すべきか、的確な判断が求められる中、攻撃の容易性や影響度などを加味して脆弱性の深刻度を数値化したEPSSスコアが注目されています。
EPSSスコアは、従来のCVSSスコアでは把握しきれなかった、実際に悪用される可能性の高さを加味することでより実務的な脆弱性管理を可能にします。セキュリティ担当者は、このEPSSスコアを参照することで、より悪用リスクの高い脆弱性への対策を効率的に行うことができます。例えば、同一のシステムに複数の脆弱性が存在する場合でも、EPSSスコアが高いものから優先的に対処することで、限られた資源を最大限に活かすことができます。
さらに、EPSSスコアは、組織全体のシステムにおける脆弱性のリスクをより正確に把握するのにも役立ちます。従来のCVSSスコアだけでは、組織全体のセキュリティリスクを正しく評価することが困難でしたが、EPSSスコアを活用することで、より現実に近いリスク評価が可能となります。
EPSSスコアは、あくまでも指標の一つではありますが、従来のCVSSと組み合わせて活用することでより多角的な視点からの脆弱性管理を実現できるため、組織のセキュリティ体制強化に大いに役立つと言えるでしょう。
項目 | 内容 |
---|---|
問題点 | サイバー攻撃の脅威増加、セキュリティ対策の必要性、限られた資源と時間、膨大な脆弱性情報、優先順位の判断が困難 |
EPSSスコアの利点 | 攻撃の容易性や影響度を加味した脆弱性の深刻度を数値化、実際に悪用される可能性の高さを考慮、より実務的な脆弱性管理が可能、悪用リスクの高い脆弱性への効率的な対策、組織全体のシステムにおける脆弱性のリスクをより正確に把握 |
EPSSスコアとCVSSスコアの使い分け | EPSSスコア:悪用される可能性の高さ、組織全体のセキュリティリスク評価 CVSSスコア:脆弱性の技術的な深刻度 |
結論 | EPSSスコアは、従来のCVSSスコアと組み合わせて活用することで、より多角的な視点からの脆弱性管理を実現、組織のセキュリティ体制強化に貢献 |
公開情報と今後の展望
– 公開情報と今後の展望脆弱性に対する脅威の深刻度を評価する指標であるEPSSスコア、その算出に用いられるスコアリングモデル、そしてデータへのアクセスを提供するAPIは、FIRSTが管理するウェブサイト上で公開されており、誰でも自由に利用できます。このオープンな設計思想は、EPSSが広く普及するための基盤となっています。将来的には、EPSSはセキュリティベンダーの提供する製品やサービスにも組み込まれることが見込まれています。例えば、脆弱性スキャナーにEPSSスコアが表示されることで、管理者はどの脆弱性から対処すべきかを、より的確に判断できるようになります。また、セキュリティ情報やイベント管理システム(SIEM)にEPSSスコアを統合することで、脅威の優先順位付けが自動化され、セキュリティ対策の効率性が飛躍的に向上する可能性も秘めています。このように、EPSSは脆弱性管理の精度向上と効率化に大きく貢献できる可能性を秘めたツールと言えるでしょう。将来的には、セキュリティ対策の要となる重要な要素として、幅広い分野で活用されていくことが期待されています。
項目 | 内容 |
---|---|
EPSSの公開情報 | EPSSスコア、スコアリングモデル、APIはFIRSTが管理するウェブサイト上で公開されており、誰でも自由に利用できます。 |
EPSSの今後の展望 |
|