CyberFix Note脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
対象の目安: 脆弱性管理・情報システム担当 / 実務
脆弱性管理を担当していると、毎月のように大量のパッチ情報が降ってきます。スキャナを回せば、High や Critical の脆弱性が数百件、組織によっては数千件単位で一覧に並びます。これを全部当てるのは、現実的には不可能です。人手も検証環境もメンテナンス時間も有限で、「深刻度の高い順に上から潰す」という素朴な運用は、すぐに破綻します。
問題は件数だけではありません。深刻度(CVSS)が高い脆弱性の多くは、実際には悪用されないまま終わります。一方で、深刻度が中程度でも実際に攻撃に使われている脆弱性は確実に存在します。深刻度の高さと、いま本当に危ないかどうかは別の話なのです。限られたリソースを「理論上の最悪」ではなく「現実の危険」へ集中させるには、深刻度だけに頼らない判断軸が要ります。
この記事では、CVSS・EPSS・CISA KEV・SSVC という4つの指標の役割を整理し、それらを組み合わせたリスクベースの優先度付けを、優先度マトリクスと運用ステップに落とし込んで解説します。対象は、脆弱性情報を受け取って自社の対応を判断する脆弱性管理担当・情報システム担当の方です。CVSSそのものの構造や読み方は あわせて読みたい CVSSスコアの読み方と脆弱性対応の優先度付け。基本値だけで判断しないために
まずは4つの指標の役割を整理する
優先度付けの話に入る前に、登場する指標が「それぞれ何を測っているのか」を切り分けます。ここを混同すると、指標の使い方を誤ります。
| 指標 | 提供元 | 何を表すか | 値の形 | 主な使いどころ |
|---|---|---|---|---|
| CVSS | FIRST | 脆弱性固有の深刻度(理論上の最悪) | 0.0〜10.0 | 初期トリアージの目安 |
| EPSS | FIRST | 今後30日以内に悪用される確率 | 0〜1 | 大量の脆弱性の絞り込み |
| KEV | CISA | 実際に悪用が確認された脆弱性の一覧 | 該当/非該当 | 最優先対応の判断 |
| SSVC | CMU SEI / CISA | 対応の意思決定を木構造で導く手法 | 行動カテゴリ | 判断基準の構造化 |
ポイントは、CVSSが「その脆弱性がどれだけ危険になりうるか(深刻度)」を表すのに対し、EPSSとKEVは「いま実際に危ないか(悪用の予測と実績)」を表す、という役割の違いです。深刻度・悪用可能性・実際の悪用は、それぞれ別の軸として扱う必要があります。
注意
「CVSS = リスク」ではありません。CVSSは深刻度(severity)の指標であり、悪用の可能性や資産の重要度を掛け合わせたリスク(risk)とは別物です。CVSSの数値だけで優先順位を決めると、悪用されていない高スコアに人手を吸い取られ、実際に攻撃されている中スコアを後回しにする、という事態が起きます。
CVSS: 深刻度の物差し。ただし出発点にすぎない
CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)は、脆弱性の深刻度を0.0から10.0の数値で表す、ベンダー非依存の評価手法です。管理母体はFIRSTで、最新版のCVSS v4.0は2023年11月1日に公開されました。深刻度の評語と数値の対応(None/Low/Medium/High/Critical)は広く使われており、対応の議論をするうえでの共通言語になっています。
ここで押さえたいのは、脆弱性情報サイトに「CVSS 9.8」のように出ている数値は、たいてい基本評価基準(Base)だけで算出された値だ、という点です。CVSS v4.0は基本(Base)・脅威(Threat)・環境(Environmental)・補足(Supplemental)の4つの評価グループで構成され、このうち補足はスコアの数値には影響しません。基本値は「脆弱性そのものの理論上の深刻度」であって、「いま実際に攻撃されているか」「自社の環境でどれだけ危ないか」は織り込まれていません。
つまりCVSSの基本値は、優先度付けの出発点としては有用ですが、それ単独で順番を決めるための指標ではありません。FIRSTもv4.0で脅威・環境評価による補正を促していますが、補正には手間がかかり、現実には多くの組織が基本値のまま運用しています。だからこそ、外部から得られる悪用情報(EPSS・KEV)と突き合わせる発想が要ります。CVSS v4.0の構造や、v3.1からの変更点を詳しく知りたい場合は あわせて読みたい CVSSスコアの読み方と脆弱性対応の優先度付け。基本値だけで判断しないために
EPSS: 悪用される確率で大量の脆弱性を絞り込む
EPSS(Exploit Prediction Scoring System)は、ある脆弱性が今後30日以内に実際に悪用される確率を、0から1の数値で表すデータ駆動の予測モデルです。FIRSTが提供しており、スコアは日次で更新されます。0.9なら「30日以内に悪用される確率が高い」、0.01なら「ほとんど悪用されないと予測される」という意味になります。CVSSの基本値が静的なのに対し、EPSSは新しい脅威情報を反映して日々変わるのが特徴です。
EPSSが効くのは、まさに「全部は当てられない」場面です。CVSSが高い脆弱性は世の中に膨大にありますが、その大半は実際には悪用されません。EPSSで悪用確率の高いものを上位に絞り込めば、限られた人手を「深刻でかつ悪用されやすい」ものへ集中できます。CVSSの縦軸(深刻度)とEPSSの横軸(悪用確率)を掛け合わせると、対応すべき脆弱性が自然に浮かび上がります。
なお、EPSSは2025年3月17日に大幅改良されたv4(モデル版 v2025.03.14)の公開が始まっており、データモデルの精度と悪用活動のリアルタイム追跡が強化されています。スコアはCSVやAPIで無償公開されているため、自社の脆弱性管理ツールやスプレッドシートに取り込んで使えます。
メモ
EPSSはあくまで「予測」です。確率が低いからといって「絶対に悪用されない」わけではありません。EPSSは大量の脆弱性に優先順位の傾斜をつけるための道具であり、後述するKEV(実績)と組み合わせることで真価を発揮します。EPSS単独で「対応する/しない」を断定するのは避けてください。
KEV: 実際に悪用された脆弱性は深刻度を問わず最優先
CISAが公開するKEV(Known Exploited Vulnerabilities Catalog、既知の悪用された脆弱性カタログ)は、実際に攻撃で悪用された証拠がある脆弱性を集めた一覧です。CVSSが「理論上どれだけ深刻か」、EPSSが「悪用される確率」を表すのに対し、KEVは「現実に使われた」という、最も直接的で強い危険信号を提供します。CISAはKEVへの登録基準として、CVE IDが採番されていること、実際の悪用(in the wild)の証拠があること、明確な対策(パッチや緩和策)が存在すること、を挙げています。
実務上の判断はシンプルです。自社が使う製品の脆弱性がKEVに載っているなら、CVSSやEPSSの数値にかかわらず最優先で対応を検討します。CVSSが中程度でも、実際に悪用されているなら放置すべきではありません。KEVは2021年11月に311件で始まり、執筆時点では1,400件を超える規模まで拡大しています(2025年末時点で約1,484件とする集計もある。最新の登録件数はCISAのKEVカタログで確認できる)。
注意したいのは、「KEVに載っていない=安全」ではないことです。KEVは悪用が確認・公表されたものの一覧であり、まだ観測・公表されていない悪用は当然載りません。KEVは強い加点材料ですが、載っていないことを安全の根拠にはできません。
KEVを起点に米国の連邦方針も「リスクベース」へ動いた
KEVはもともと、米CISAの拘束的運用指令BOD 22-01(2021年11月)によって、連邦民間機関に期限内の修正を義務づける仕組みとして導入されました。そのBOD 22-01は、執筆時点で2026年6月10日発行のBOD 26-04(Prioritizing Security Updates Based on Risk)に置き換えられ、廃止されています。ただしKEVカタログ自体は引き続き維持・運用されており、登録基準も変わっていません。
このBOD 26-04が、本記事のテーマそのものを象徴しています。CISAは連邦の優先度付けの必須入力としてのCVSSを取りやめ、後述するSSVCの考え方に基づくリスクベースの判断へ移行しました。判断は、資産がインターネットに公開されているか、KEVに載っているか、悪用を全自動化できるか、技術的影響はどうか、という観点で行います。これらの組み合わせに応じて対応期限が段階的に決まり、最も高リスクの組み合わせ(公開資産・KEV該当・全自動化可・完全な制御)では最短3日での修正と、すでに悪用されていないかを確かめるフォレンジック・トリアージまで求める、という設計です。深刻度の数値を絶対視せず、実際の悪用と環境を重ねて優先度を決める、という流れが、公的な方針としても明確になったわけです。
SSVC: 数値ではなく「意思決定」を構造化する
SSVC(Stakeholder-Specific Vulnerability Categorization)は、対応の意思決定を木構造(決定木)で整理する手法です。カーネギーメロン大学のソフトウェア工学研究所(CMU SEI)がCISAと協力して2019年に考案しました。数値スコアを付けるのではなく、いくつかの判断ポイント(悪用状況・技術的影響・自動化可能性・自組織での重要度など)を順にたどって、行動カテゴリを導きます。
CISAが運用する決定木では、最終的に次の4つのいずれかに振り分けられます。
| 行動カテゴリ | 意味 | 対応の目安 |
|---|---|---|
| Track | いまは即時対応不要。状況を追って再評価する | 標準の更新サイクルで対応 |
| Track* | 特定の条件を満たし、変化への注意が必要 | より注意して監視 |
| Attend | 監督層の関与が必要。情報収集や通知を行う | 標準より早めに対応 |
| Act | 即時の協調対応。悪用・高影響・高重要度が重なる | できるだけ早く対応 |
SSVCの利点は、スコアの大小に頼らず、「自組織の立場から見てどう動くべきか」を明文化できることです。CVSS・EPSS・KEVが「指標」だとすれば、SSVCはそれらの指標を入力として「行動」を決めるための枠組みだと捉えると、役割の違いが整理できます。前述のBOD 26-04も、このSSVCの考え方を土台にしています。
3つを組み合わせた優先度マトリクス
ここまでの指標を、実務で使える優先度マトリクスに落とし込みます。考え方の軸は、(1)KEV該当を最優先の即時対応に引き上げる、(2)残りをCVSS(深刻度)とEPSS(悪用確率)で振り分ける、という二段構えです。次の表は運用の出発点となるテンプレートで、しきい値や期限は自社の体制・リスク許容度に合わせて必ず調整してください。
| 条件 | 優先度 | 対応の目安 |
|---|---|---|
| KEVに該当(実際に悪用されている) | 最優先 | 即時。緊急パッチ・緩和策を最短で適用 |
| 高CVSS(High/Critical)かつ高EPSS(例: 0.5以上) | 高 | 今週中を目安に対応 |
| 高CVSS だが低EPSS | 中 | 通常の更新サイクルで対応。変化を監視 |
| 低CVSS だが高EPSS | 中 | 内容を確認。公開資産なら前倒し |
| 低CVSS かつ低EPSS | 低 | 定例の対応にまとめる |
このマトリクスの肝は、KEV該当を他の数値より上に置くことと、「高CVSSだが低EPSS」を機械的に最優先扱いしないことです。深刻度が高くても悪用確率が極端に低く、対象資産が隔離環境にあるなら、緊急度は相対的に下がります。逆に、CVSSが中程度でもEPSSが高く、その資産がインターネットに公開されているなら、前倒しの判断が妥当です。
ヒント
しきい値(EPSSをどこで「高い」とみなすか等)は、最初から完璧を目指さず、運用しながら調整します。まずは「KEV該当=即時」「高CVSS×高EPSS=今週」という2本の軸だけでも、深刻度ソートだけの運用から大きく前進できます。EPSSのしきい値は組織の処理能力に合わせ、対応しきれる件数になるよう後から上げ下げするのが現実的です。
EPSSはあくまで悪用「確率」であり、自社環境の重要度までは織り込みません。最終的には、その資産がどれだけ重要か、公開範囲はどうか、既存の緩和策があるか、という環境の文脈を重ねて補正します。この補正の考え方は、CVSSの環境評価やSSVCの観点と地続きです。
実務での運用ステップ
優先度マトリクスを、日々の運用フローに組み込む手順に落とすと次のようになります。
- 1
脆弱性とKEV・EPSSを突き合わせる
スキャナや構成管理から自社の脆弱性一覧を取得し、各CVEにCISA KEVの該当有無とEPSSスコアを付与します。KEVもEPSSもCVE IDを鍵に機械的に突き合わせられます。
- 2
KEV該当を即時対応へ引き上げる
KEVに載っている脆弱性は、CVSSの数値にかかわらず最優先候補とし、緊急パッチや緩和策の適用を最短で進めます。実害が確認された最も強い危険信号です。
- 3
残りをCVSS×EPSSで振り分ける
KEV非該当のものを、優先度マトリクスに沿ってCVSSとEPSSで層別します。件数が多いときはEPSSの高いものから着手し、深刻度が高くても悪用確率が極端に低いものは後回しにできる場合があります。
- 4
自社環境で補正する
資産の重要度、インターネット公開の有無、既存の緩和策を踏まえ、SSVCや環境評価の観点で自社向けに最終調整します。公開資産は前倒し、隔離環境は緩和、という補正をかけます。
- 5
期限を決めて記録する
優先度ごとに対応期限(即時/今週/通常サイクル等)を定め、使った指標の値・KEV/EPSSの状況・最終判断の理由をチケットに残します。後から検証でき、監査にも耐える形にします。
- 6
定期的に再評価する
EPSSは日次で、KEVは随時更新されます。低優先度に振り分けたものが、KEV追加やEPSS上昇で危険度を上げることがあるため、定期的に再スコアリングして見直します。
このフローは、依存ライブラリの脆弱性管理(SCA)とも噛み合います。ソフトウェアコンポーネントから検出された大量の脆弱性も、同じくKEVとEPSSで層別すれば、対応すべきものを現実的な数に絞れます。依存関係の脆弱性管理については あわせて読みたい 依存ライブラリ管理とSCA。SBOMで攻撃面を把握する
ありがちな誤解と判断のコツ
実務でつまずきやすい誤解を整理します。
第一に、「Critical(CVSS 9.0以上)は常に最優先」という思い込みです。深刻度が高くても、悪用が観測されておらず(KEV非該当・低EPSS)、対象資産が隔離環境にあり、すでに緩和策が入っているなら、緊急度は下がります。深刻度(severity)と緊急度(urgency)は別物です。
第二に、「EPSSが低いから対応しなくてよい」という早合点です。EPSSは予測であり、ゼロデイのように予測が追いつかない悪用もあります。とくに公開資産や重要資産では、EPSSが低くてもCVSSや影響を見て判断すべき場面があります。新規の悪用がいつ出るか分からない脆弱性の扱いについては あわせて読みたい ゼロデイ脆弱性とは。検知が難しい攻撃にどう備えるか
第三に、「KEVに載っていなければ安全」という誤解です。前述のとおり、KEVは悪用が確認・公表されたものの一覧であって、まだ観測されていない悪用は載りません。KEV非該当を安全の根拠にしないでください。
これらに共通するのは、単一の指標を絶対視せず、深刻度・悪用確率・悪用実績・自社の文脈を重ねて判断する姿勢です。指標は判断を助ける材料であって、判断そのものを肩代わりするものではありません。CISAが連邦方針でCVSS必須をやめ、複数のリスク要素による判断へ移行したのも、まさにこの発想の延長線上にあります。
よくある質問
CVSSはもう不要になったのですか?
KEVとEPSSはどう使い分けますか?
EPSSはどのくらいの値を「高い」とみなせばよいですか?
SSVCを導入しないと優先度付けはできませんか?
中小規模でも同じ考え方で運用できますか?
まとめ
リスクベースの優先度付けで確認すること
- 全てのHigh/Criticalを当てる前提を捨て、悪用実績と確率で優先度に傾斜をつけているか
- 各CVEにCISA KEVの該当有無を突き合わせ、該当を深刻度にかかわらず最優先にしているか
- EPSS(30日以内の悪用確率)でKEV非該当の脆弱性を絞り込んでいるか
- CVSSは出発点として使い、それ単独で順番を決めていないか
- 資産の重要度・公開範囲・既存の緩和策で自社向けに補正しているか
- EPSSは日次、KEVは随時更新される前提で、定期的に再評価しているか
- 使った指標の値・KEV/EPSS状況・判断理由をチケットに記録しているか
毎月大量に出るパッチを全部当てるのは不可能だ、という前提に立つことが、現実的な脆弱性管理の出発点です。深刻度(CVSS)は理論上の最悪を、悪用確率(EPSS)は今後30日の見通しを、悪用実績(KEV)は現実に攻撃された事実を表します。この3つを組み合わせ、KEV該当を即時、高CVSS×高EPSSを前倒し、と層別すれば、限られた人手を本当に危ないものへ集中できます。米CISAが連邦方針でCVSS必須をやめ、KEVや悪用の自動化可否を軸にしたリスク判断へ移行したことも、この方向性を後押ししています。数値は判断を助ける材料であって、判断そのものではない。複数の指標と自社の文脈を重ねて優先度を決める姿勢が、実務では最も効きます。
出典・参考
関連する記事
CVSSスコアの読み方と脆弱性対応の優先度付け。基本値だけで判断しないために
CVSS v3.1とv4.0の構成を整理し、基本値(Base)だけで優先順位を決める落とし穴と、KEVやEPSSなど実際の悪用情報を組み合わせた実務的な脆弱性対応の判断軸を、運用担当者目線で解説します。
CVE・JVNの読み方と脆弱性情報の追い方。採番の仕組みからNVD・ベンダー情報までを整理する
CVEはどう採番され、JVN・JVN iPedia・NVD・ベンダーアドバイザリはそれぞれ何を担うのか。脆弱性情報の流れと読み方、自社製品に関係する情報を取りこぼさず追うための実務的な手順を入門者向けに整理します。
依存ライブラリ管理とSCA。SBOMで攻撃面を把握する
自作コードより外部ライブラリのほうが多い時代に、何を使っているかを台帳化するSBOMと、既知の脆弱性を突き合わせるSCAの基本を解説。SPDX/CycloneDXの違い、Dependabot/Renovateによる更新自動化、CI組み込みの判断基準まで実務目線でまとめます。