米国 NIST サイバーセキュリティ白書 CSWP 41 悪用される可能性の高い脆弱性 - 脆弱性悪用確率の提案指標

こんにちは、丸山満彦です。

NISTがセキュリティ白書 CSWP 41 悪用される可能性の高い脆弱性 - 脆弱性悪用確率の提案指標を公表していますね...

---

毎年公表される何万ものソフトウェアやハードウェアの脆弱性のうち、悪用されるのはごく一部である。どの脆弱性が悪用されるかを予測することは、事業体の脆弱性是正活動の効率性と費用対効果にとって重要である。

---

まさにその通りですよね...

何でもかんでも脆弱性を修正する必要があるかというとそうではないわけです。

それは、脆弱性の特徴をとってもそうですし、利用されている環境によっても変わってくると思います...

利用環境との関係については、各組織が個別に判断しないといけないわけですが、脆弱性の性質については、もう少し精度を上げていく余地はありそうな気がしますよね...ということでこの研究報告ということだと思います。。。

データをとってベンダーや利用者と連携して適正な効果的な手法を考えていく必要がありそうですね...

 

● NIST - ITL

・2025.05.19 NIST CSWP 41 Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability

 

NIST CSWP 41 Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability	NIST CSWP 41 悪用される可能性の高い脆弱性 - 脆弱性悪用確率の提案指標
Abstract	概要
This work presents a proposed security metric to determine the likelihood that a vulnerability has been observed to be exploited. Only a small fraction of the tens of thousands of software and hardware vulnerabilities that are published every year will be exploited. Predicting which ones is important for the efficiency and cost effectiveness of enterprise vulnerability remediation efforts. Currently, such remediation efforts rely on the Exploit Prediction Scoring System (EPSS), which has known inaccurate values, and Known Exploited Vulnerability (KEV) lists, which may not be comprehensive. The proposed likelihood metric may augment EPSS remediation (correcting some inaccuracies) and KEV lists (enabling measurements of comprehensiveness). However, collaboration with industry is necessary to provide necessary performance measurements.	本研究では、脆弱性が悪用される可能性を判断するためのセキュリティ指標を提案する。毎年公表される何万ものソフトウェアやハードウェアの脆弱性のうち、悪用されるのはごく一部である。どの脆弱性が悪用されるかを予測することは、事業体の脆弱性是正活動の効率性と費用対効果にとって重要である。現在のところ、このような改善努力は、不正確な値が知られている Exploit Prediction Scoring System (EPSS) や、包括的でない可能性のある Known Exploited Vulnerability (KEV) リストに依存している。提案する尤度評価指標は、EPSS の是正（不正確さの一部を修正）と KEV リストの補強（包括性の測定が可能）になるかもしれない。しかし、必要な性能測定を提供するためには、産業界との協力が必要である。

 

・[PDF]

・[DOCX][PDF] 仮訳

 

目次..

1. Introduction	1. 序論
2. Background	2. 背景
2.1. Common Vulnerabilities and Exposures	2.1. 一般的な脆弱性とエクスポージャー
2.2. Exploit Prediction Scoring System	2.2. エクスプロイト予測スコアリングシステム
2.3. Known Exploited Vulnerability Lists	2.3.既知の脆弱性リスト
3. Purpose and Uses	3. 目的と用途
3.1. Measurement of the Expected Proportion of Exploited CVEs	3.1. 悪用されるCVEの予想される割合の測定
3.2. Measurement of the Comprehensiveness of KEV Lists	3.2. KEVリストの包括性の測定
3.3. Augmenting KEV-Based Remediation Prioritization	3.3. KEVに基づく修復の優先順位付けを強化する
3.4. Augmenting EPSS-Based Remediation Prioritization	3.4. EPSSに基づく改善の優先順位付けを強化する
4. Equations	4. 方程式
4.1. LEV Equation	4.1. LEV方程式
4.2. LEV2 Equation	4.2. LEV2方程式
5. Equation Derivation	5. 方程式の導出
5.1. EPSS Scores as Pre-Threat Intelligence	5.1. 脅威前のインテリジェンスとしてのEPSSスコア
5.2. EPSS Scores as Lower Bounds	5.2. 下限値としてのEPSSスコア
5.3. EPSS Scores as Conditional Probabilities	5.3. 条件付き確率としてのEPSSスコア
6. Example Output	6. 出力例
7. Empirical Results	7. 実証結果
7.1. LEV Distributions	7.1. LEV分布
7.2. Proportion of CVEs Expected to be Exploited	7.2. 悪用が予想されるCVEの割合
7.3. LEV Recall of KEV Lists	7.3. KEVリストのLEVリコール
8. KEV List Comprehensiveness Measurements and Potential Sources of Error	8. KEVリストの包括性の測定と潜在的な誤差の原因
8.1. KEV policy choice	8.1. KEVポリシーの選択
8.2. Probability error	8.2. 確率誤差
8.3. Analysis error	8.3. 分析エラー
8.4. KEV visibility error	8.4. KEV視認性エラー
8.5. Calibration error	8.5. 校正エラー
8.6. Chance	8.6. チャンス
9. Performance	9. パフォーマンス
10. Implementation and Availability	10. 実施と利用可能性
10.1. NVD Download	10.1. NVD ダウンロード
10.2. CISA KEV Download	10.2. CISA KEV ダウンロード
10.3. EPSS Download and Data	10.3. EPSSダウンロードとデータ
11. Conclusion	11. 結論
References	参考文献
Appendix A. EPSS Documentation	附属書 A.EPSS文書
Appendix B. List of Abbreviations and Acronyms	附属書B.略語と頭字語のリスト