Vulnerability Exploitation Probability Metric Proposed by NIST, CISA Researchers
2025/05/20 SecurityWeek — CISA と NIST の研究者たちが提案するのは、脆弱性が実際に悪用される可能性を算出するための、新たなサイバー・セキュリティ指標である。NIST の Peter Mell と CISA の Jonathan Spring が発表したのは、Likely Exploited Vulnerabilities (LEV) と呼ばれる指標の計算式を解説する論文である。ソフトウェアとハードウェアにおいて、毎年、数千件もの脆弱性が発見されている、実際に悪用されるのは、そのうちのごく一部である。
したがって、ユーザー組織がパッチ適用の優先順位付けを行う際には、すでに悪用されている脆弱性の把握や、悪用される可能性の高い脆弱性の予測が重要になる。
CISA が管理する Known Exploited Vulnerabilities (KEV) や、データに基づき脆弱性悪用の可能性を推定する Exploit Prediction Scoring System (EPSS) は、きわめて有用なものである。しかし、KEV リストには不完全である可能性があり、EPSS には不正確な場合がある。
LEV の目的は、KEV リストと EPSS の置き換えにあるのではなく、それらの強化にある。具体的に言うと、特定の脆弱性に対して EPSS スコアが提供された最初の日付および、KEV リストの最新の更新日、KEV への掲載日、特定の日の EPSS スコア (複数日にわたる) などの変数を考慮した式が、LEV では用いられるという。
そこから得られる LEV 確率は、脅威アクターが悪用する脆弱性の予想数と割合を測定するのに有用なものとなる。
研究者たちは、「LEV が提供する指標は、KEV リストの網羅性を推定する際にも有用である。これまで、KEV のメンテナたちは、攻撃に用いられた重要な脆弱性が、どの程度までリストで網羅されているのかを、示す指標を持っていなかった」と説明している。
つまり、LEV 確率は、KEV/EPSS をベースにする脆弱性への修正において、優先順位付けを強化するのに役立つ。KEV の場合には、見落とされる可能性が高い脆弱性を特定するために、また、EPSS の場合には、強調すべき脆弱性を発見するために、LEV は機能する。理論上、脆弱性の優先順位付けにおいて、LEV がきわめて有用なツールになる可能性があるが、研究者たちが指摘するのは、協力が不可欠であると言う点だ。NIST は、”LEV 確率の性能を経験的に測定するための関連データセットを持つ” 業界パートナーを探している。
NVD の CVE バックログ問題や CVE プログラムの存続の危機に続いて、Likely Exploited Vulnerabilities (LEV) という、新たな指針が発表されました。KEV カタログと EPSS の置き換えではなく強化が目的であるとのことですが、この流れが業界標準の再構築につながるのか、今後の展開に注目です。よろしければ、以下の関連記事も、ご参照ください。
2025/04/18:GCVE という新たな取組:CVE ID の分散化を推進
2025/04/16:CVE プログラムの未来を担う CVE Foundation
2025/04/16:CVE の危機が回避:CISA から MITRE への資金
2025/04/16:CVE プログラムへの政府資金が終了? MITRE が懸念
2025/04/11:NVD が体制を刷新:CVE バックログ解消へ向けて
2025/03/19:NVD バックログの解消に苦戦:今後も停滞が続く?
IoT OT Security News 
You must be logged in to post a comment.