はじめに
こんにちは、限界ちゃん🐹です。
2025年5月19日に米国NIST(National Institute of Standards and Technology)が「Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability(NIST CSWP 41)」という新しいホワイトペーパーを発表しました。
今回はこのホワイトペーパーを読む機会があったので自分なりに理解してみたいと思い、記事にまとめてみました。
セキュリティパッチの問題提起
脆弱性管理の現場では、全てのCVEに対しパッチを適用することが理想とされてきましたが、実際には多くの企業がその実現に苦しんでいます。NIST CSWP 41で引用されている研究によれば、発見された脆弱性のうち、実際に“野良”で悪用が観測されたのはわずか5%程度であり、一方で企業の月次の脆弱性修正率は16%にとどまるとされています。
他の記事によると、実際のサイバーリスクの約90%はわずか10%の脆弱性からしか発生していないと述べられています。
セキュリティパッチを当てるときには、実は単純に「適用する」だけでは済みません。システム全体がきちんと動き続けるかを事前に確認したり、業務が止まらないように工夫したり、パッチでは対応できない場合は他の対策も考えなければならないなど、たくさんの準備や手間がかかります。
特に、会社の根幹を支えるようなシステム(基幹システム)では、パッチを適用したことでシステムが一時的に使えなくなるリスクが、現場にとって大きな障害になることもよくあります。そのため、「全部パッチを当てれば安心」とは簡単に言えないのが実情です。
本来ならば、「実際に悪用されたCVE(脆弱性)」だけでも確実に対応できれば、ずっと効率的にリスクを下げられるはずです。
しかし現実には、どのCVEを優先するべきかを客観的に判断できる指標や標準的な手順がまだ十分に整備されていません。そのため、重要なCVEを見逃してしまったり、逆にあまり危なくないCVEにまで無駄なリソースを使ってしまうといったことが日常的に起きています。
EPSSの登場
このような背景から、どの脆弱性が本当に危険で、優先して対応すべきかを科学的・統計的に特定できるという根拠ある優先順位付け が重要視されるようになり、EPSSが登場しました。
EPSS (Exploit Prediction Scoring System)
EPSS(Exploit Prediction Scoring System)は各CVEについて「今後30日以内に攻撃される確率」を統計モデルで毎日算出し、0.0〜1.0の値(=パーセンテージ換算で0%〜100%)として提示するものです。
EPSSの強み
なんといってもEPSSの強みは、将来攻撃されそうな脆弱性に対して統計的に“現実的な危険度”を数値で示せることです。また、他にも以下のようなポイントがあります。
- 全CVEが対象:NVDで公開されるほぼ全てのCVEに対して、毎日最新スコアを提供
- 定量的な優先順位付け:「直感」や「重大度ラベル」に頼らず、客観的な数値で比較できる
- 運用の自動化との相性:SIEMやSOARと連携しやすく、大規模な脆弱性管理にも活用できる
EPSSの弱み
一方、EPSSにも根本的な限界があります。設計思想上、EPSSは「過去に攻撃された」という事実そのものをモデルの入力(説明変数)には直接含めません。
すなわち、すでに大規模な攻撃が発生していたとしても、その証拠情報がEPSSスコアにダイレクトに反映されるわけではないのです。
モデル自体は「攻撃される兆候(PoC公開状況やCVSSスコア、製品の普及度など)」を主に学習しますが、「実際にやられた」という証拠部分はKEVリストや脅威インテリジェンスで補うしかありません。
このことから、私の理解ではEPSSは未来予測ベース型のスコアリングシステムだと位置付けられると思っています。
KEV(Known Exploited Vulnerabilities)リスト
EPSSの話題とあわせて必ず登場する重要なキーワードが、KEVリスト(Known Exploited Vulnerabilities List)です。
これは「実際に悪用されたことがある」と公式に認定された脆弱性(CVE)のデータベースであり、米国CISAが公開するKEVリストは政府機関や重要インフラ事業者の“最優先パッチ適用リスト”として広く活用されています。
KEVリストの強み
最大の強みは、「現実世界で本当に攻撃された」という“証拠”があるCVEだけが掲載されている点です。そのため、「優先度MAXの危険なCVE」に即座に対応できる根拠リストとしての信頼性はとても高いと言えます。
KEVリストの弱み
一方で、KEVリストは脅威インテリジェンスの観測範囲や情報公開網に大きく依存しているため、カバーできるCVEは非常に限定的です。また、まだ観測されていない攻撃や、情報が公開されていないCVEは永遠にKEVリストに載ることはありません。
例えば2024年12月時点では、CVEリスト全体で約26万件の脆弱性が登録されているのに対し、CISAのKEVリストにはわずか1228件しか載っていません。これは全体のわずか0.5%に相当します。
このことから、私の理解ではKEVリストは「観測証拠ベース型」であると考えています。
LEV(Likely Exploited Vulnerabilities)
EPSSとKEVリストのそれぞれの弱点を補完するために、新たに提案されたのがLEV(Likely Exploited Vulnerabilities)です。
LEVは、ある脆弱性(CVE)が「実際に攻撃された可能性が高いかどうか」を、過去のデータをもとに定量的かつ網羅的に評価する指標となっています。
LEVはEPSSやKEVリストに「取って代わる」ものではありません。
あくまで両者の“死角”や“弱点”をカバーするための補完的な指標です。
LEVの強み
LEVはEPSSの時系列スコア(毎月の攻撃予測確率)を蓄積し、「このCVEがどこかで一度でも攻撃された可能性がどれだけ高いか」を統計的に推定できます。
たとえば、あるCVEがKEVリストには載っていない場合でも、過去のEPSSスコアがずっと高い状態が続いていれば、LEVは「おそらくどこかで攻撃された可能性が高い(少なくとも注意が必要)」という累積確率を算出します。
そのため、KEVリストが現実的に証拠でカバーしきれない領域も、LEVは「過去のEPSSスコアの蓄積データや統計」に基づく“予見”によって、セーフティネットの役割を果たしてくれるのです。
LEVの弱み
一方で、LEVの算出する累積確率は、あくまで過去のEPSSスコアの時系列データに基づく推定値でしかありません。そのため、「LEVの値が高いからといって、必ずその脆弱性が実際に攻撃された」と断言することはできません。
また、LEVは統計的なモデルに依存しているため、入力となるEPSSスコアやその前提となる観測データの質や量に左右されやすい側面もあります。このため、証拠を重視する運用や規制要件の場面では、KEVリストのような明確な観測証拠には及ばないという限界があります。
これらを踏まえたスコアリング&リスト
これらを踏まえて表でざっくりと比較してみました。
また今回は説明を省きましたが、CVSS(Common Vulnerability Scoring System)も比較がよりしやすくなるように追加しています。
| システム | 評価の対象 | 強み | 弱み・課題 | 代表的な用途 |
|---|---|---|---|---|
| CVSS | 技術的深刻度 | 世界標準、比較の共通言語 | 実攻撃リスクは未評価 | 製品比較、リスク説明の初期判断 |
| EPSS | 30日内での攻撃予測確率 | 最新・全CVEのリスクが分かる | 既知攻撃済みCVEは過小評価されることも | 優先度付け、自動化運用 |
| KEVリスト | 攻撃観測実績 | 緊急性の高いCVEを即発見 | 網羅性に限界、未観測CVEは抜け漏れる | 緊急パッチ、優先対応 |
| LEV | 過去攻撃“累積確率” | KEV/EPSSの欠点を補える | あくまで“確率”、証拠にはならない | 見逃し防止、網羅性チェック |
このように、CVSS・EPSS・KEV・LEVはそれぞれ異なる観点やアルゴリズムに基づいて設計されているため、単独での運用ではどうしても限界があります。
実際の現場では、これらのシステムを組み合わせて多層的に活用することが、脆弱性管理やパッチ適用の最適化には不可欠です。
脅威インテリジェンス(CTI)との繋がりと活用
NIST CSWP 41では、こうしたスコアリング指標と現場の脅威インテリジェンスとの役割分担も重視されています。
EPSSは「証拠が出る前のプリ脅威インテリジェンス(pre-threat intelligence)」として、“証拠(KEVやTI)が得られるまで”の先読み・確率予測を担います。一方、KEVやベンダー脅威インテリジェンスなど観測情報が得られた場合は、「観測証拠」による優先度付けが最優先となります。
さらにLEVは、時系列で算出した確率により、「KEVやEPSSだけではカバーしきれない死角」を補完する“セーフティネット”の役割を果たしています。
つまり、スコアリングによる予測と脅威インテリジェンスによる観測証拠、この二つを多層的に組み合わせて運用することこそが、現代的なサイバー防御体制の本質的なアプローチだと思います。
実際、現場運用するにはどうすればより良いのか
ここからは私自身の考察も交えてまとめます。
現場運用の最適化には、単一の指標に頼るのではなく、多層的な優先順位付けと補完体制が不可欠です。
NIST CSWP 41では、KEVリストによる「絶対やるべき」脆弱性の即時対応を最優先とし、EPSSで大量のCVE群から攻撃されそうなものを抽出、さらにLEVでKEVやEPSSの死角となるグレーゾーンのカバーを“保険”として追加する流れが推奨されています。
実際の現場では、「観測証拠ベース(KEV)だけでは新規攻撃や観測範囲外のリスクに追いつけない」「未来予測ベース(EPSS)だけではリソースの最適化や誤検知の問題が残る」など、それぞれの手法に限界があります。そのため、多層的な優先順位付けや説明責任体制は、現場負荷の最適化と、経営層や監査・法規制に対する合理的な説明の両立につながると考えます。
私は大学生なので現場経験はありませんが、NISTレポートや既存研究を踏まえると、「KEV・EPSS・LEVの三層連携」こそが最も現実的かつ再現性の高いアプローチであり、今後の脆弱性管理・リスク対応の標準となるのではないかと考えています。
さいごに
NIST CSWP 41を読んでみて、初めてKEV、EPSS、そしてLEVについて知ることができました。
今回は省きましたが、このホワイトペーパーにはLEVの計算式やEPSSスコアの時系列的な扱い、数理モデルの背景など、より詳細なしくみを理解できる内容が記載されています。より専門的に知りたい方は、ぜひ原文もあわせて読んでみてください🐹