入門解説

EPSSとは
(悪用確率の参考指標)

EPSSとは Exploit Prediction Scoring System の略で、脆弱性が 今後30日以内に実際に悪用される可能性を確率として示す指標 です。

FIRST は、EPSS を「脆弱性が wild(野外/実際の環境)で exploitation activity を受ける確率を見積もるための、データ駆動の取り組み」と説明しており、スコアは 0〜1(0〜100%) の範囲で表されます。スコアが高いほど、悪用される可能性が高いと見なします。

導入(トリアージの全体フロー)

EPSSなどの指標を使って、実務の現場でどうやって「見るべき脆弱性」を絞り込むか、トリアージ全体の流れはこちらをご覧ください。

EPSSで何が分かるのか

EPSSが示すのは「どれくらい危ない脆弱性か(深刻度)」ではなく、「どれくらい悪用されそうか(確率)」 です。

FIRSTのFAQでは、EPSSは published CVE ごとに日次で更新され、次の30日間に exploitation activity が観測される確率を出すと説明されています。さらに、スコアだけでなく percentile(パーセンタイル) も提供され、これは「全脆弱性の中でどれくらい上位に位置するか」を示します。

このため、EPSSは「いま優先して見るべきCVEの候補」を絞るのに向いています。特に大量の脆弱性通知が来る現場では、EPSSを使うことで、全部を同じ温度感で処理せずに済みます。
FIRSTの User Guide でも、EPSS は vulnerability management の優先順位付けを改善するための threat(脅威)情報として位置づけられています。

CVSS・KEVとの違い

ここは実務で最も混同しやすいところです。ざっくり以下のように分けて見ると整理しやすいです。

CVSS

どれくらい深刻か
脆弱性そのものの深刻度や成立条件の難易度を表す。

EPSS

どれくらい悪用されそうか
今後30日以内に悪用される予測確率を表す。

KEV

もう悪用が確認されているか
CISAが公開する「既に悪用された」脆弱性のリスト。

CVSSは脆弱性の深刻度や成立条件を表す指標、EPSSは「悪用される確率」を表す指標です。
FIRSTは User Guide で、EPSSは risk score ではなく、risk の中の threat 要素を測るものだと明言しています。つまり、EPSSだけで「直す/直さない」を決めるのではなく、CVSS、対象版数、到達性、業務影響などと組み合わせて総合的にリスクを判断するのが前提です。

サプライヤー実務での使いどころ

サプライヤー実務において、EPSSは “最初の優先度付け(足切りや順序付け)” に向いています。

たとえば、NVDやベンダ通知で複数のCVE候補が見つかった時、まずは以下の順に見ていくと、現場の負荷をかなり減らせます。

  1. KEV に載っているか(即時対応が必要か)
  2. EPSS が高いか(急いで評価すべきか)
  3. 自社製品に搭載されているか(対象版数の確認)
  4. 外部から到達できるか(攻撃経路の有無)

FIRSTの probability/percentile の解説でも、EPSSの probability は絶対確率、percentile は全体の中での順位を示すため、両方を見ると判断しやすいと説明されています。

また、EPSSはCSVやAPIでも取得できるため、台帳やトリアージシートに取り込んで運用しやすいのも利点です。FIRSTのデータページとAPIドキュメントでは、cveepsspercentile などの基本項目が公開されていることが示されています。

よくある誤解

  • 誤解1:EPSSが低い=安全である

    違います。 EPSSが低いのは「悪用される可能性が相対的に低い」と予測されているだけで、影響がゼロという意味ではありません。FIRSTも、EPSSは never zero(決してゼロにはならない)であり、risk 全体の一部しか見ていないと説明しています。

  • 誤解2:EPSSだけで優先度を決めてよい

    違います。 FIRSTは EPSS を risk score として扱うべきではないと明示しており、CVSSや資産価値、到達性、業務影響などと合わせて使うべきだとしています。

  • 誤解3:percentile と probability は同じ意味だ

    違います。 probability は絶対確率、percentile は順位です。たとえば「10%」の probability は数字だけ見ると低く見えますが、全脆弱性の中ではかなり上位(percentileが高い側)に入ることがあります。FIRSTの解説でも、この違いを意識するよう説明されています。

FAQ:EPSSとは

Q1. EPSSとは何ですか?

脆弱性が今後30日以内に実際に悪用される可能性を予測する指標です。FIRSTが公開しています。

Q2. EPSSのスコアは何を意味しますか?

0〜1の確率値(0〜100%)で、値が高いほど exploitation activity が観測される可能性が高いことを示します。

Q3. EPSSとCVSSの違いは何ですか?

CVSSは深刻度、EPSSは悪用確率の参考指標です。EPSSは risk 全体ではなく threat(脅威の度合い)を見る指標です。

Q4. EPSSは毎日変わりますか?

はい。FIRSTのFAQやデータページでは、EPSSは日次で更新されると説明されています。

次に読む

EPSSやCVSSといった指標を元に、自社製品への影響をどう判断して記録に残すか。実務で使えるシートはこちら。

自社に必要な脆弱性の「足切り基準」を整理しませんか?

EPSSやKEVを活用して、膨大な脆弱性情報から「今すぐ評価すべきもの」と「後回しでよいもの」をどう切り分けるか。自社製品の特性に合わせたトリアージ対応の範囲や基準を整理したい方はご相談ください。

【無料】オンライン相談を予約する