1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. NISTの脆弱性の新指標 LEVとは-脆弱性が実際に悪用されている可能性を数値化

NISTの脆弱性の新指標 LEVとは-脆弱性が実際に悪用されている可能性を数値化

セキュリティニュース

投稿日時: 更新日時:

NISTの脆弱性の新指標 LEVとは-脆弱性の“実際に悪用されている可能性”を数値化

2025年5月、米国NIST(国立標準技術研究所)は新たな脆弱性評価指標「LEV(Likely Exploited Vulnerabilities)」を発表しました。これは、既存の脆弱性が“実際に悪用されている可能性”を確率として提示する数学モデルです。今後、日本のNICT(情報通信研究機構)もLEVの導入を視野に入れているとされ、セキュリティ運用や脆弱性管理の現場において注目を集めています。

なぜLEVが必要なのか?

現在、多くの組織が脆弱性の優先度判断に使用しているのは以下の2つです。

  • EPSS(Exploit Prediction Scoring System):脆弱性が今後30日以内に悪用される可能性を予測するスコア

  • KEV(Known Exploited Vulnerabilities)リスト:過去に実際に悪用された脆弱性の一覧

しかし、EPSSは過去に悪用された脆弱性に対する評価が過小になる傾向があり、KEVはリストの網羅性に課題があるとされてきました。

NISTはこのギャップを埋めるために、「過去に悪用されたと“みなされる”可能性を推定する新たな指標」としてLEVを提案しました。

LEVとは何か?

LEVは、以下のような特徴を持つ指標です。

  • 過去に悪用された確率を算出(観測情報がなくても推定可能)

  • EPSSの履歴データを元に、時系列的な確率推移を数式化

  • 複数の変数と係数を使って、個々のCVEに対して定量的にスコアを算出

LEVには「LEV」と「LEV2」の2つの方式があり、前者は計算コストが低く、後者はより詳細な分析に向いています。

NISTが挙げるLEVの主な活用用途は以下の4点です

  1. 脆弱性の中でどれが過去に悪用されていた可能性が高いかを評価

  2. KEVリストの網羅性を測定する

  3. KEVに含まれていないがLEVが高い脆弱性の洗い出し(リスト拡張)

  4. EPSSによる誤評価を補正し、優先度の再評価に活用

情報システム部門へのインパクト

LEVは、「すべての脆弱性が同じリスクを持つわけではない」という実情に即した判断材料を提供します。実際、公開されるCVEの中で攻撃に使われるのはごく一部(5%前後)と言われていますが、その“ごく一部”を事前に特定することはこれまで困難でした。

LEVの導入によって以下のメリットが期待されます:

  • パッチ適用の優先順位付けが明確化される

  • “過小評価された”脆弱性の洗い出しが可能になる

  • KEVやEPSSに頼りすぎるリスクを緩和できる

特に、国内の中小企業や教育機関、地方自治体など、セキュリティ体制が限られた組織にとって、「限られた工数で重要な脆弱性だけを迅速に対応する」ための指針となる可能性があります。

導入に向けた課題と展望

LEVは理論的に洗練されたモデルですが、運用面ではいくつかの課題が残っています。

  • 日本国内での脅威データとの整合性

  • EPSSデータの収集・蓄積体制

  • 算出環境の技術基盤整備(Pythonベースの実装)

  • KEVとのすり合わせと活用ポリシー策定

NISTは現在、実運用での精度検証のために産業界とのデータ連携を募っている状況です。NICTがLEVの導入を検討するにあたっても、国内企業・研究機関との連携体制が鍵を握るでしょう。

まとめ

LEVは、脆弱性対応における「何から手を付けるべきか」という問いに対して、より実務的かつ現実的な指標を提供する新たなアプローチです。KEVやEPSSといった既存指標の限界を補いながら、より的確な脆弱性管理を可能にする点で、今後の標準指標となる可能性を秘めています。

日本でもLEVの導入に向けた議論が進む中、情報システム部門としてはその構造や活用の仕方を理解し、自社のセキュリティ対応にどう活かせるかを検討しておくことが重要です。

参照記事

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.41.pdf

関連記事

安全なパスワード管理やパスワード生成とは安全なパスワード管理、パスワード生成とは SAP、ゼロデイ攻撃で悪用された脆弱性を修正(CVE-2025-42999)SAP、ゼロデイ攻撃で悪用された脆弱性を修正(CVE-2025-42999) SAP NetWeaverのゼロデイ脆弱性(CVE-2025-31324)が悪用、CISAがKEVデータベースに追加SAP NetWeaverのゼロデイ脆弱性(CVE-2025-31324)が悪用、CISAがKEVデータベースに追加 ImageMagick、Linuxカーネル、SonicWallの既知脆弱性が攻撃の標的にImageMagick、Linuxカーネル、SonicWallの既知脆弱性が攻撃の標的に OpenSSHが認証されていないリモート コード実行に対して深刻な脆弱性(regreSSHion 、CVE-2024-6387)OpenSSHで認証されていないリモート コードを実行される深刻な脆弱性(regreSSHion 、CVE-2024-6387) Veeam Backup & Replicationを狙うランサムウェア攻撃が発生Veeam Backup & Replicationを狙うランサムウェア攻撃が発生 SolarWinds(ソーラーウインズ)の重大なバグがサイバー攻撃に悪用(CVE-2024-28986)SolarWindsの重大なバグがサイバー攻撃に悪用(CVE-2024-28986) Jenkins の脆弱性がランサムウェア 攻撃に悪用(CVE-2024-23897)Jenkins の脆弱性がランサムウェア 攻撃に悪用(CVE-2024-23897) ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623)ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623)