採用情報

お問い合わせ

EPSS(Exploit Prediction Scoring System)の基礎知識

  1. HOME
  2. サーバーソリューション
  3. MIRACLE Vul Hammer
  4. EPSS(Exploit Prediction Scoring System)の基礎知識

EPSS(Exploit Prediction Scoring System)の基礎知識
~ 悪用される可能性が高い脆弱性を特定し対策の優先度判断を可能に ~

更新日:2025-03-05

近年、サイバー攻撃の高度化と増加に伴い、企業や組織は無数の脆弱性に対応しなければなりません。しかし、すべての脆弱性に対処するのは現実的ではなく、どの脆弱性を優先的に対応すべきかが大きな課題となっています。
この問題を解決するために開発されたのが、EPSS(Exploit Prediction Scoring System)です。本記事では、EPSS の仕組みや活用方法について解説します。

目次
  1. EPSS とは?
    2.
    1. EPSS とは?
      2.
    2. EPSS が収集する代表的な脆弱性データ
      3.
  2. EPSS のメリット
    3.
  3. EPSS の利用方法
    4.
    1. EPSS を利用する際の留意点
      2.
    2. EPSS のデータの内容
      3.
  4. まとめ
    5.

EPSS とは?

EPSS とは?

EPSS(Exploit Prediction Scoring System)とは、FIRST(Forum of Incident Response and Security Teams)が開発・運営するスコアリングシステムで、脆弱性が悪用される可能性を予測します。複雑な機械学習や膨大な脆弱性データを活用し、スコア公表後30日以内に悪用される確率を算出します。攻撃者に狙われやすい脆弱性を数値化することで、どの脆弱性への対応を優先すべきか判断する際に役立ちます。

EPSS が収集する代表的な脆弱性データ

  • ベンダー情報(CPE)
  • 脆弱性の経過時間(MITRE CVEリストでCVEが公開されてからの日数)
  • 脆弱性情報のある分類ラベル(MITRE CVE、NVD)
  • 脆弱性の説明から重要なフレーズ(MITRE CVE)
  • 脆弱性の影響度(CWE)
  • CVSSメトリクス(CVSS 3.xのベクター)
  • CVEが検出・議論されているか
    • CISA KEV
    • Google Project Zero
    • Trend MicroのZero Day Initiative (ZDI)
  • エクスプロイトコードが公開されているか
    • Exploit-DB
    • GitHub
    • MetaSploit
  • 攻撃者やホワイトハッカー向けセキュリティツールの対応情報
    • Intrigue
    • sn1per
    • jaeles
    • nuclei

EPSS は進化し続けており、今後さらに更新・拡張される予定です。詳細については、以下の公式サイトをご参照ください。
PSS モデルの詳細(FIRST公式)

EPSS のメリット

  1. リスク低減

    2. 今後悪用される可能性が高い脆弱性を特定し、優先的に対策を講じることで、攻撃を未然に防ぐ可能性が高まります。

  2. 効率的な運用

    3. すべての脆弱性を均等に扱うのではなく、EPSS を利用することで「対応優先度の高い脆弱性」にリソースを集中できます。

EPSS の利用方法

1. 対象システムの脆弱性リストを取得

脆弱性スキャナー等を使用し、対象システムに内在する脆弱性をリスト化します。

2. EPSS のデータを入手する

FIRST が公式サイトで公開している EPSS のデータをダウンロードします。

以下のページからダウンロードできます:
EPSS データ・統計(FIRST公式)

EPSS データ・統計(FIRST公式)からEPSSデータをダウンロード
3. 各 CVE に対応する EPSS スコアを確認

可視化された脆弱性リストと EPSS を比較し、該当する脆弱性のスコアを確認します。

4. スコアとパーセンタイルを考慮し、優先的に対策を実施

検知された脆弱性のうち、スコアとパーセンタイルが高いものから対応を計画・実施します。

5. 継続的なモニタリング

EPSS は定期的に更新され、スコアやパーセンタイルも時間の経過と共に変動します。自動化ツールや通知サービスを利用することで効率的にモニタリングを行いましょう。

EPSS を利用する際の留意点

1. EPSS スコアが低い=安全ではない

EPSS スコアが低い脆弱性でも、今後の攻撃手法の変化や新たな脆弱性との組み合わせにより急に悪用される可能性があるため、低スコアの CVE も無視すべきではありません。

2. EPSS だけでは完結できない

EPSS は公開されている情報から脅威を分析し、スコアリングする仕組みです。自社システムの重要度や、実際に自社システムが攻撃された場合のインパクトは考慮されません。確率を過信せず、SSVC などの他の指標と併用して判断することを推奨します。

EPSS のデータの内容

EPSS の各項目の内容を一覧にしました。イメージしやすいように、具体例も合わせて記載します。
percentile(パーセンタイル)の概念は分かりにくいかもしれませんが、score(スコア)が高いほどランキング上位に入るため、percentile(パーセンタイル)も高くなります。

パラメータ 概要
cve 脆弱性の識別番号 CVE-2025-12345
epss (score) 今後30日間(スコア公表後)に悪用される確率
スコア範囲:0.0 ~ 1.0(0%~100%)
  • 0.0に近い → 悪用される可能性が低い
  • 1.0に近い → 悪用される可能性が高い
 0.85(85%の確率で悪用される可能性)
percentile スコアが付いた脆弱性の中で該当の脆弱性がどの位置にあるかを示す指標
スコア範囲:0.0 ~ 1.0(0%~100%)
  • 0.0に近い → スコアランキング(降順)で下の方にいる
  • 1.0に近い → スコアランキング(降順)で上の方にいる
 0.98(スコアランキングで下から 98% の位置、全CVEの中で上位 2%にいる)

まとめ

EPSS は、「どの脆弱性が実際に攻撃される可能性が高いか?」を予測し、脆弱性管理の優先順位を決めるための強力な指標です。その活用導入には脆弱性情報の確認や対応のための時間やリソースが必要ですが、サイバー攻撃の脅威が増大する現代において、その重要性はますます高まっています。
ぜひ EPSS を活用し、効率的なセキュリティ対策を実現しましょう。

また、当社製品である MIRACLE Vul Hammer では、2025 年 3 月のアップデートで EPSS に対応しました。ご興味のあるかたは、まずは小規模な PoC を実施し、効果を検証してみてはいかがでしょうか。ご興味のあるかたは、ぜひお問い合わせください!

関連リンク

SBOM 対応の脆弱性管理ツール「MIRACLE Vul Hammer」
SBOMを使った脆弱性管理を実現!MIRACLE Vul Hammer
MIRACLE Vul Hammer お問合せフォーム

MIRACLE Vul Hammer について、導入のご相談・ご質問などがありましたら、下記のフォームよりお問い合わせください。

お気軽にご相談ください!
  • 機能の詳細を知りたい
  • 価格やサポートについて相談したい
  • デモを試してみたい
  • オンプレ版について
お気軽にお問い合わせください!
※入力間違いにご注意ください。
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime