コラム : マイクロソフトのセキュリティパッチ提供の判断基準
2018年8月30日
株式会社Doctor Web Pacific
脆弱性からシステムを保護するためには、アップデートを適時インストールする必要があるということは誰もが知っています。しかし、問題は脆弱性が大量に存在し、毎日多くの脆弱性が発見されることにあります。一方で、パッチを当てることができるプログラマーの数は限られているのです。
そのため、脆弱性の分析が終わった後、セキュリティ研究者はその重要度と修正方法、そしてその修正にどれだけの時間と労力を必要とするかを評価します。その後、その対応のためのタスクが開発プロジェクトに追加され、セキュリティパッチがリリースされます。
また、セキュリティホールへのパッチ適用にはお金がかかります。企業の開発者、テスター、テクニカルライター、さらにはスポークスマンに至るまでが、セキュリティパッチのリリースに関わってくるのです。
脆弱性には様々な種類が存在しています。それらのうちのいくつかは、普通のユーザーによって悪用される可能性があります。他者に影響を及ぼすには相当なスキルを必要とします。だからこそ、企業は次のように問題にアプローチしています。
マイクロソフトは、同社のオペレーティングシステムにおけるセキュリティ問題に関するポリシーの概要を説明した、 Windows用セキュリティサービスコミットメントを発表しました。特に、このドキュメントでは、同社がどの脆弱性を修正する必要があるかの判断に使用するセキュリティサービス基準について説明されています。
このドキュメントでは、2つの評価基準を提示しています。
- この脆弱性は、マイクロソフトが防御しようとしているセキュリティ境界、または、セキュリティ機能によってもたらされる約束に違反していますか?
- この脆弱性の重要度は、サービスの制限を満たしていますか?
両方の質問に「はい」と回答されると、マイクロソフトのプログラマーが問題に取り組むことを意味しており、サポートされているすべての製品に対応する修正はできるだけ早くリリースされる予定です。
いずれかの質問に対する回答が「いいえ」の場合、マイクロソフトは次のバージョンがリリースされるまで脆弱性の対応を延期します。場合によっては例外が発生する可能性はありますが、セキュリティ更新プログラムでは対処されません。このドキュメントでは、脆弱性の重要度カテゴリをクリティカル、重要、中、低、無し、と定義しています。同社は、クリティカルおよび重要なカテゴリに属する脆弱性にのみ対処することを約束します。
つまり、利用可能なすべてのアップデートをインストールしたとしても、あなたのシステムには脆弱性が存在する可能性があります:
- ハッカーや開発者に知られていない脆弱性の存在。
- ハッカーによって発見されたが、まだ開発者には知られていない脆弱性。
- それぞれの開発者がパッチを当てようとしない、あるいはパッチを当てることができない状況。
Windows XPとWindows 7を例に取ってみましょう。この2つには脆弱性があることが知られていますが、これらのオペレーティングシステムのセキュリティパッチがリリースされることはほとんどありません。
Rate
Repost
![[VK]](http://st.drweb.co.jp/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.co.jp/static/new-www/social/no_radius/twitter.png)
Like
![[facebook]](http://st.drweb.co.jp/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments