用語比較
KEVとEPSSの違い
KEVは「実際に悪用された脆弱性」をCISAが認定するリスト、EPSSはFIRSTが公開する「悪用されうる確率」のスコア。両者を組み合わせて優先順位を決める。
- 難易度
- 中級
- 想定読者
- 脆弱性管理担当・SOC
- 所要時間
- 約7分
KEVとは
Known Exploited Vulnerabilities Catalog。CISA が悪用確認済み脆弱性を認定するカタログ。米国連邦機関にはパッチ期限が課される。
EPSSとは
Exploit Prediction Scoring System。今後30日以内に悪用される確率を 0〜1 のスコアで予測する FIRST 提供の指標。
違いの比較表
| 比較軸 | KEV | EPSS |
|---|---|---|
| 性質 | 事実ベース(悪用観測済み) | 確率ベース(予測スコア) |
| 提供元 | CISA | FIRST |
| 更新 | CISA が随時追加 | 毎日再計算 |
| 使い方 | 即時パッチ判断の根拠 | 広範囲のCVEを優先度付け |
使い分け
- KEV 入り CVE は最短でパッチ・緩和を適用する
- EPSS が高いものは KEV 未入りでも要警戒として運用する
- CVSS 単独ではなく、KEV + EPSS + 自社露出度で総合判断する
よくある誤解
- KEV に入っていなければ安全、というのは誤解
- EPSS が低いなら無視してよい、というのは誤り
- CVSS スコアだけで対応順を決めるのは現代では不十分
よくある質問
KEVとEPSSの違いは?
KEVは「実際に悪用された脆弱性」をCISAが認定するリスト、EPSSはFIRSTが公開する「悪用されうる確率」のスコア。両者を組み合わせて優先順位を決める。
KEVとは?
Known Exploited Vulnerabilities Catalog。CISA が悪用確認済み脆弱性を認定するカタログ。米国連邦機関にはパッチ期限が課される。
EPSSとは?
Exploit Prediction Scoring System。今後30日以内に悪用される確率を 0〜1 のスコアで予測する FIRST 提供の指標。
KEVとEPSSはどう使い分ける?
KEV 入り CVE は最短でパッチ・緩和を適用する EPSS が高いものは KEV 未入りでも要警戒として運用する CVSS 単独ではなく、KEV + EPSS + 自社露出度で総合判断する
KEVとEPSSでよくある誤解は?
KEV に入っていなければ安全、というのは誤解 EPSS が低いなら無視してよい、というのは誤り CVSS スコアだけで対応順を決めるのは現代では不十分