NISTとCISAの研究員が脆弱性の悪用確率を評価する新指標「LEV」を提案した。LEVはEPSSやKEVの限界を補完し、悪用済みの可能性が高い脆弱性の早期特定を可能にするという。実際どのくらい信頼できるのだろうか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国国立標準技術研究所(NIST)は2025年5月19日(現地時間)、悪用される可能性のある脆弱(ぜいじゃく)性の予測に関する新たなセキュリティ指標「Likely Exploited Vulnerabilities」(LEV)を提案するホワイトペーパー(CSWP 41)を公開した。
LEVはソフトウェア/ハードウェアにおける数多くの脆弱性の中から、実際に悪用される可能性が高いものを特定し、修正対応の優先順位を決定するための補助指標となる。NISTおよび米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の研究者が共同で執筆したこの文書では、既存の「Exploit Prediction Scoring System」(EPSS)および「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)の限界を補完することを目的としている。
EPSSは今後30日以内に悪用される可能性があると予測するが、既に悪用が確認されている脆弱性についての精度に課題があるとされる。LEVはこの問題に対応する形でEPSSの過去スコアを基に既に悪用された可能性を数値化する手法を取っている。LEVスコアが高い脆弱性はたとえKEVカタログに含まれていなくてもリスクとして考慮すべき可能性があり、早急な対応の優先候補となることがある。
実際に文書内で紹介された事例では、「WordPress」プラグイン「SupportCandy」のSQLインジェクション脆弱性(CVE-2023-1730)において、EPSSでは0.16のスコアであった一方、LEVでは0.70と大きく異なる評価となった。この他、「Microsoft ODBC」ドライバーのリモートコード実行(RCE)脆弱性(CVE-2023-29373)ではEPSSが0.08に対し、LEVは0.54350というスコアを算出している。これらの結果から、LEVは既存の指標では見落とされがちなリスクを補足できる可能性があると考えられている。
LEVは単体でKEVカタログを置き換えるものではなく、KEVとEPSSの補完的な役割を果たす。特にKEVに含まれていないにもかかわらずLEVスコアが高い脆弱性は、既存の脆弱性リストの包括性に対する再評価を促すきっかけになる。NISTによればLEVは今後、業界との協力によって性能検証を進める必要があるとしている。
新たなセキュリティ指標の提案は脆弱性管理に携わる企業やセキュリティ専門家にとって、修正対象の優先順位付けを精緻化する新たな手段となる。脆弱性の悪用可能性を定量的に測定し、より的確かつ迅速な対応につなげることが、国家全体のサイバーセキュリティリスク低減に資すると期待されている。
Copyright © ITmedia, Inc. All Rights Reserved.