タグ: #米国立標準技術研究所

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年5月19日に米国立標準技術研究所（National Institute of Standards and Technology、以下 NIST）からNIST CSWP(Cybersecurity White Paper)41として元NIST職員とサイバーセキュリティ・社会基盤安全保障庁（Cybersecurity and Infrastracture Security Agency、以下CISA）職員の共著のホワイトペーパー、Likely Exploited Vulnerabilities（以下LEV）が公開されました*1Mell P, Spring J (2025) Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Cybersecurity White Paper (CSWP) NIST CSWP 41.。本記事ではLEVについて解説をし、既存の評価指標との違いを紹介します。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

LEV が登場した背景

LEV はその名の通り脆弱性が侵害される可能性を示したものです。ご存じの方も多いと思いますが、脆弱性のうち、いわゆるCommon Vulnerability Enemuration（CVE）と呼ばれる識別子が付与され、公開された脆弱性は2024年にNVDに登録されたものだけで39,982件に及びます*8https://nvd.nist.gov/vuln/search/statistics?form_type=Advanced&results_type=statistics&search_type=all&isCpeNameSearch=false&pub_start_date=01%2F01%2F2024&pub_end_date=12%2F31%2F2024。このため、脆弱性の管理については検出されたものの全件の一斉解消ではなく、脅威によるリスクや業務継続性・レジリエンシーなどの観点からの優先順位付けを行う方向へと北米・欧州では舵が切られています。この流れで2021年に登場した業界標準的な位置づけの脅威情報のデータセットが2つあります。1つは悪用された脆弱性をカタログ化した Known Exploited Vulnerability（侵害されたことが知られている脆弱性、略称 KEV）カタログ、もう一つがEPSSスコアです。しかしKEVカタログもEPSSスコアもそれぞれ仕様に限界があります。これらの仕様を補うものとしてLEVが提示されています。

既存の指標の解説

既存の脆弱性の評価の指標には以下のものがあります。

CVSS

一般的にCVEとセットで用いられるCVSS(Common Vulnerability Scoring System)のベーススコアは、単体の脆弱性に対する静的な深刻度評価となります。CVSSバージョン4からは脅威スコアが追加されましたが、このスコアは継続して更新される必要があることから実際に利用されるケースはまれです。このため、現実的に悪用される可能性を示すものというよりは、発見された当初の静的解析の結果と見るべきでしょう。なお、CVSS は静的解析の指標となり、脅威に関する指標がベーススコアに含まれていないことなどから、LEV のホワイトペーパーでは詳細は触れられていません。

KEVカタログ

KEVカタログはCISAが運用している、侵害された「後」の実績があるCVEを集めたカタログです。アメリカでは拘束力のある運用指令（BOD,Binding Operational Directive）22-01*9https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilitiesに基づき、連邦情報および連邦情報システムを保護する目的で連邦政府機関に対して出された強制的な指示として、侵害されたことが知られている脆弱性による重大なリスクを回避することが義務付けられており、この脆弱性の周知方法としてKEVカタログが用いられています。

なお、CISAは主に米国連邦政府機関向けに情報を収集・公開しているため、他の国での侵害情報が反映されない（または反映されるまでに時間がかかる）ことがあります。この反映されない脆弱性情報は、脅威インテリジェンスベンダが脅威インテリジェンスフィードとして顧客に提供する、アメリカ以外の国のCERTや政府機関が情報を提供する、といった方法で補完されています。

2024年のKEVカタログ登録状況の分析記事はこちらから
2025年Q1統計

EPSS

EPSSは実際の侵害活動の状況などを幅広いデータパートナーから収集したデータを用いた学習モデルにより、今後30日間の侵害の可能性をパーセンタイル値であらわしたものになります*10https://arxiv.org/pdf/2302.14172 ただし、EPSSについては過去に侵害された脆弱性の評価値が低く出る傾向がEPSSのFAQで言及されている点には注意が必要でしょう*11https://www.first.org/epss/faq 。なお、EPSSは2025年5月17日にバージョン4がリリースされ、より広範なデータソースからデータを収集するなどの更新が行われています*12https://www.empiricalsecurity.com/research/introducing-epss-version-4 。LEVのホワイトペーパーではEPSSはプレ脅威インテリジェンスとして、「明らかに侵害されている脆弱性」の一段階下のレベルの脆弱性の補足に利用されることが望ましいとされています。

LEV 方程式

今回公開されたホワイトペーパーではLEV方程式として以下の2つが提示されています。

• LEV方程式
• LEV2方程式

いずれもEPSSを用いて、脆弱性が過去に悪用されたことが観測された確率を算出するための方程式となります。なお、LEV方程式で使用される変数と関数は以下の通りです。

-v: 脆弱性（例: CVE）
-d: 時間成分のない日付（例: 2024-12-31）
-d0: そのvに対して EPSS スコアが利用可能になった最初の日付
-dn: 計算を実行すべき日付（通常は現在の日付）
-epss(v,d): 日付dにおける脆弱性-vの EPSS スコア
-dates(d0,dn,w): d0を含み、dnを超えない、wの倍数をd0に加えて形成される日付のセット
-datediff(di,dj): diとdjの間の日数（両端を含む）
-winsize(di,dn,w): datediff(di,dn) ≥ wの場合はw、datediff(di,dn) < wの場合はdatediff(di,dn)
-weight(di,dn,w): winsize(di,dn,w)/w

なお、EPSSやKEVカタログがそうであるように、LEVの確率が高いものはCVE全体では限定的であることも検証結果として提示されています。

LEV方程式

EPSSスコアを用いて、悪用確率の計算を行うもので、このホワイトペーパーでの議論などの基礎となるものです。以下は方程式の近似表現になります。オリジナルの方程式はホワイトペーパーのp.8をご参照ください。

LEV(v, d_in, d_n) >= 1 – ∏[∀d_i∈data(v,d_in,d_n)] (1 – epss(v, d_i) × weight(d_i, d_n, 30))

LEV2方程式

LEV2方程式では単一のEPSS スコア（それ自体が30日間のウィンドウに対する悪用確率）をある単一の日付における悪用可能性として扱う点がLEV方程式と異なります。このため、計算期間（d_in, d_n）の期間の EPSS スコアすべてを取り込む点において大きな違いがあります。
以下は方程式の近似表現になります。オリジナルの方程式はホワイトペーパーのp.9をご参照ください。

LEV2(v, d_in, d_n) >= 1 – ∏[∀d_i∈data(v,d_in,d_n)] (1 – epss(v, d_i)/30)

ホワイトペーパーで提唱されているLEVの用途

LEVの用途は以下の4つがホワイトペーパーで提唱されています。

• 過去に侵害された脆弱性数の推計
• KEV カタログの包括性の測定
  ・KEV カタログはその目的も相まって、収録数に一定程度の限界があります(参考)
• KEV カタログベースの修復優先順位付けの拡張
  LEV が示す確率の閾値しきいちを設定し、その閾値を超える脆弱性をKEVカタログの補完に用いるもの
• EPSS ベースの修復優先順位付けの拡張
  ・EPSS は一部の脆弱性について不正確な値を出力することがわかっています(参考)
  ・本来はKEVカタログがすべての侵害された脆弱性を網羅すべきですが、KEVカタログも包括性には限界があることから、EPSSの修正をすべてKEVカタログに依存することも限界があります
  ・EPSSのスコアをKEVカタログによる実績から修正しつつ、LEVが示す確率で補完することで、過去の悪用と未来の悪用可能性の両方をカバーすることを目的としています。
  ・ただしKEVカタログの網羅性の向上はKEVカタログの運用に依存するため、この手法にも限界がある点に注意が必要です。

脆弱性管理におけるLEV

冒頭にもある通り悪用される脆弱性は限られている一方で脆弱性は膨大に増え続けています。このため、脆弱性に対してはすべてに対処するというアプローチから、一定の優先度を設けて順に対処していくアプローチへと変わりつつあります。ここで優先度を設けるにあたっては、以下のような指標を用いて優先順位付けすることが必要となります。

1. 脆弱性が悪用されているかどうか
2. 脆弱性が悪用される可能性がどの程度か
3. 悪用される可能性がある脆弱性が外部からどの程度接続可能か
4. 自社・組織の経営上の影響度や個別のサービスレベルに応じた優先度の定義

このうち、2.についての情報を提供するものの一つとしてLEVを利用できる可能性があります。

LEVの制約事項

LEVにも制約事項が存在します。以下はホワイトペーパーが公開された2025年5月末時点での制約事項です。

• LEVは基礎データとしてEPSSに依存しているため、EPSSの性能にその精度が大きく依存する
  ・LEVの性能検証が困難
  ・EPSSの性能検証は公開されているが、これをもってLEVの性能の計算を行うことはできない
  ・これは実際の悪用の有無や悪用の観測時期に関するデータが完全には入手できないことに起因する
• 発見から長期間を経ている脆弱性のLEVスコアは高値になる傾向がある
• 実証について
  ・多数のCVEと悪用の実績、悪用観測に関する経時適菜データを用いた実証テストが行われていない
  ・現時点ではLEVはEPSSバージョン3に基づく実証しか行われていない
• KEVカタログやそれに準ずる脅威インテリジェンスフィードで侵害されたことが確認できる脆弱性は、LEVやEPSSに優先して評価されるべきである

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年6月4日（水）13:00～14:00
「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～」

2025年6月11日（水）13:50～15:00
「DDoS攻撃から守る！大規模イベント時のセキュリティ-大規模イベント開催中に急増するDDoS攻撃の事例と防御策を解説- 」

2025年6月18日（水）14:00～15:00
「侵入が防げない時代に選ぶべき脆弱性診断サービスとは？～実績・サポート・診断基準で比較する、最適な脆弱性診断の選び方～」

最新情報はこちら

---

---