NISTが脆弱性管理の新指標「LEV」を提案　EPSSやKEVより信頼できる？：セキュリティニュースアラート

　EPSSは今後30日以内に悪用される可能性があると予測するが、既に悪用が確認されている脆弱性についての精度に課題があるとされる。LEVはこの問題に対応する形でEPSSの過去スコアを基に既に悪用された可能性を数値化する手法を取っている。LEVスコアが高い脆弱性はたとえKEVカタログに含まれていなくてもリスクとして考慮すべき可能性があり、早急な対応の優先候補となることがある。

　実際に文書内で紹介された事例では、「WordPress」プラグイン「SupportCandy」のSQLインジェクション脆弱性（CVE-2023-1730）において、EPSSでは0.16のスコアであった一方、LEVでは0.70と大きく異なる評価となった。この他、「Microsoft ODBC」ドライバーのリモートコード実行（RCE）脆弱性（CVE-2023-29373）ではEPSSが0.08に対し、LEVは0.54350というスコアを算出している。これらの結果から、LEVは既存の指標では見落とされがちなリスクを補足できる可能性があると考えられている。

　LEVは単体でKEVカタログを置き換えるものではなく、KEVとEPSSの補完的な役割を果たす。特にKEVに含まれていないにもかかわらずLEVスコアが高い脆弱性は、既存の脆弱性リストの包括性に対する再評価を促すきっかけになる。NISTによればLEVは今後、業界との協力によって性能検証を進める必要があるとしている。

　新たなセキュリティ指標の提案は脆弱性管理に携わる企業やセキュリティ専門家にとって、修正対象の優先順位付けを精緻化する新たな手段となる。脆弱性の悪用可能性を定量的に測定し、より的確かつ迅速な対応につなげることが、国家全体のサイバーセキュリティリスク低減に資すると期待されている。