セキュリティ

脆弱性指標値”EPSS”とは?CVSSとの違いを分かりやすく説明

  /
脆弱性指標値"EPSS"とは?CVSSとの違いを分かりやすく説明

今回は、セキュリティ担当向けに、脆弱性の指標であるEPSS(The Exploit Prediction Scoring System)に焦点を当て、CVSSとの違いを分かりやすく説明します。

目次
  1. EPSS(The Exploit Prediction Scoring System)とは?
  2. CVSSとの違い
  3. EPSSとCVSSの使い分けのポイント
  4. まとめ

EPSS(The Exploit Prediction Scoring System)とは?

EPSSは、脆弱性の深刻度を評価する指標の一つであり、特に攻撃者が脆弱性を利用する可能性を評価します。

0から10のスコアで表され、高いスコアほど攻撃が容易であることを示します。この指標はセキュリティ担当にとって重要であり、脆弱性の評価において攻撃の可能性をより具体的に把握するのに役立ちます。

EPSSの運営組織 "FIRST"

EPSSは、グローバルセキュリティフォーラム「FIRST」(Forum of Incident Response and Security Teams)が定めた指標です。。

EPSSは2019年8月に開発が開始され、2022年2月に現在のメジャーバージョンであるEPSS v2が公開されています。

FIRSTのホームページはこちら

CVSSとの違い

一方で、CVSS(Common Vulnerability Scoring System)も脆弱性の評価に広く使用されています。CVSSは脆弱性全体の深刻度を包括的に評価するもので、攻撃の容易さだけでなく、影響や脆弱性の条件なども考慮されます。

EPSSは攻撃の予測に焦点を当てるのに対し、CVSSはより総合的な評価を提供します。

EPSSとCVSSの使い分けのポイント

EPSSは攻撃の可能性を具体的に示す点で役に立ちますが、CVSSとの使い分けが重要です。

セキュリティ担当は、脆弱性の特定の側面に焦点を当てる場合にEPSSを利用し、全体的な脆弱性の深刻度を知りたい場合にCVSSを利用することが求められます。

まとめ

EPSSとCVSSはどちらも重要な脆弱性の評価指標であり、それぞれを使い分けることでより効果的なセキュリティ対策が可能です。セキュリティ担当はこれらの指標を理解し、適切に活用することで、より確実なセキュリティ対策が可能となります。

CVSS EPSS
おすすめ記事