Microsoft Defender 脆弱性管理のエクスポージャースコアモデルが更新されました。脆弱性リスクシグナルと資産コンテキストを組み合わせることで、リスクが集中している箇所と、修復作業においてより大きな効果が見込まれるアクションをチームが把握しやすくなります。このモデルはパブリックプレビューとして提供されています。
「今回の更新モデルは、脆弱性リスク・悪用可能性シグナル・資産コンテキストを組み合わせることで、こうしたお客様の課題に対応しています。目指しているのは、セキュリティチームが『脆弱性はどのくらい深刻か?』を示すスコアから、『修復対応をどこから始めるべきか、そしてなぜか?』という問いに答えられるスコアへと移行できるよう支援することです」と、MicrosoftのシニアプロダクトマネージャーであるMoti Bani氏は説明しています。
エクスポージャースコアモデルの変更点
更新されたモデルでは、CVSSの深刻度だけに頼るのではなく、複数の脆弱性リスクシグナルを用いてCVEのリスクを評価します。悪用される可能性を推定するシグナルの一つとして、Exploit Prediction Scoring System(EPSS)が採用されています。
CVSS(共通脆弱性評価システム)はセキュリティ脆弱性の深刻度を測定するものです。一方、機械学習モデルであるEPSSは、公開されたCVEが今後30日以内に実際の環境で悪用される可能性を推定します。
スコアの一貫性を高めるため、このモデルでは複数の脆弱性ソースから正規化されたCVEデータを使用しています。これにより、より実際に悪用されやすい脆弱性をスコアに適切に反映できるようになります。
資産のエクスポージャースコアは、デバイスに影響するすべての脆弱性を反映するようになり、それぞれが脆弱性リスクと資産コンテキストに基づいて重み付けされます。
これにより、セキュリティチームはデバイスのエクスポージャーをより包括的に把握できるようになります。デバイスに対して実施した修復作業も、エクスポージャーの低減に直接的に反映されるようになりました。
このモデルは、デバイスがインターネットに公開されているかどうかや、その重要度といった資産コンテキストも組み込んでいます。これにより、ビジネス上の影響やエクスポージャーリスクが大きい資産上の脆弱性を優先的に対処できるようになります。たとえば、同じ脆弱性であっても、外部公開されているデバイスに存在するのか、業務上重要なデバイスに存在するのかによって、対応の優先度が変わる場合があります。
組織全体のセキュリティ態勢と、リスクに寄与している資産・脆弱性をより明確に結びつけるため、組織レベルのエクスポージャースコアは個々の資産スコアから算出されます。これにより、環境全体の脆弱性エクスポージャーをより正確に把握できるようになります。
Microsoftはまた、資産とCVEの粒度のデータを用いて修復インパクトを算出しています。これにより、推奨事項に表示される予測インパクトと、修復完了後に見込まれるスコア変化との整合性が向上しました。更新された算出結果は製品に反映されており、スコアへの影響をより直感的に把握・追跡できるようになっています。
顧客への影響
更新されたモデルを有効にした場合、計算方法の変更によりスコアが変動することがあります。スコアが上昇または下降したとしても、それは必ずしもセキュリティ態勢の変化や新たな脆弱性の出現を意味するわけではありません。
更新されたスコアは以前のバージョンと直接比較できないため、新しいベースラインとして扱う必要があります。
再計算されたインパクト値に基づき、推奨事項の優先順位が変わる場合があります。
エクスポージャースコアは毎日更新され、修復作業の変化がスコアに反映されるまでに最大24時間かかる場合があります。スコアの段階区分は変更なく、低(0〜29)・中(30〜69)・高(70〜100)のままです。
翻訳元: https://www.helpnetsecurity.com/2026/06/01/microsoft-defender-exposure-score-update/
