KEVを用いたEPSSの効果検証

はじめに コラム「EPSS（Exploit Predictions Scoring System）を活用した脆弱性管理」で説明したように、これまでの脆弱性のデファクトスタンダートであったCVSS（Common Vulnerability Scoring System）の他に、新たな脆弱性管理の指標「EPSS」が提唱され、注目されています。EPSSは脆弱性が悪用される可能性を数値として活用可能なため、今後多くの組織が脆弱性の判断指標の1つとして組み込むことが想定されます。本稿では、EPSSの有効性を測るために、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）が提供するKEV（Known Exploited Vulnerabilities Catalog）に掲載された脆弱性のEPSSスコアが掲載の過去30日から掲載日までの間で実際にどのように変化したかを検証した結果につ

[csal8040]

“本稿では、EPSSの有効性を測るために、米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）が提供するKEV（Known Exploited Vulnerabilities Catalog）に掲載された脆弱性のEPSSスコアが掲載の過去30日から掲載日