次回は4月6日

事前告知をより詳細に、MSがセキュリティ情報提供を拡大

2007/04/04

 マイクロソフトは4月4日、毎月第2水曜日に公表している製品の脆弱性情報に関連し、その3営業日前に提供している事前告知を、4月から見直すと発表した。従来よりも詳細な情報を提供し、企業のIT担当者が前もって準備できるようにする。4月は事前告知を6日にする予定だ。

microsoft01.jpg マイクロソフト セキュリティレスポンスチーム セキュリティレスポンス マネージャ 小野寺匠氏

 従来の事前告知は、脆弱性情報の概要を記していた。しかし、どの製品にどのような脆弱性があり、どの程度の深刻度かは読み取れなかった。例えば脆弱性の影響を受ける製品は個別製品でなく、「Windows」など大まかな製品ファミリ単位。IT担当者からは「具体的な製品が分からず、事前にパッチ適用の指示書を作成できない」などの声が挙がっていたという。

 4月6日から提供する事前告知では、脆弱性の影響を受ける製品を明示する。脆弱性の影響や製品バージョンごとの深刻度も提供し、「そのままプリントして修正プログラムを適用するか、適用しないかの指示書を作れる」(マイクロソフト セキュリティレスポンスチーム セキュリティレスポンス マネージャ 小野寺匠氏)内容にする。

 新しい事前告知は、マイクロソフトが毎月第2水曜日に公開している「セキュリティ情報」に近い内容になる。小野寺氏は「脆弱性ごとの深刻度や影響を受ける製品が分かることで、企業は対応の優先度を決められる」としている。

 マイクロソフトにとって悩ましいのは事前告知で脆弱性の情報を公開しすぎると、その脆弱性を悪用した攻撃が出現することだ。従来はこのリスクを懸念し、事前告知であいまいな情報しか公開してこなかった。

 しかし、公開する情報が少ないと企業側が準備できない。小野寺氏は「過去のケースを調査してここまでであれば出しても大丈夫であろうと判断した」と話す。製品名は記載するが、製品のどのコンポーネントに脆弱性があるかや、脆弱性の内容については記さないという。

(@IT 垣内郁栄)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -