Enterprise Watch
最新ニュース

マイクロソフト、修正パッチの脆弱性悪用可能性を示す指標を公開


 マイクロソフトは10月15日、月例セキュリティ更新プログラム(修正パッチ)の新たな情報として、各脆弱性の悪用コードが開発される可能性を示す「Exploitability Index」(悪用可能性指標)の提供を開始した。15日に公開した10月の月例パッチから追加され、今後公開される修正パッチについてもこの情報が掲載される。

 Exploitability Indexは、脆弱性を悪用するコードの開発の容易さや、悪用コードの攻撃が成功する可能性などを、マイクロソフトが総合的に判断して示す指標。悪用の可能性が高い順に、「1 - 安定した悪用コードの可能性」「2 - 不安定な悪用コードの可能性」「3 - 機能する見込みのない悪用コード」の3段階で評価している。

 悪用可能性が「1」の脆弱性は、幅広い環境で安定して動作する悪用コードが開発される脆弱性であることを示す。逆に、悪用可能性が「3」の脆弱性は、限定された環境や特定の条件下でなければ悪用コードが動作しないもので、「2」の脆弱性は「1」と「3」の中間となる。悪用コードが動作する条件が緩いほど攻撃対象者は多くなるため、悪用コードが開発される可能性も高くなる。

 これまで修正パッチで公開してきた「深刻度」は、脆弱性が悪用されて攻撃を受けた場合に、被害がどの程度深刻であるかなどを総合的に判断した指標となっている。これに対してExploitability Indexは、脆弱性の悪用コードが開発される可能性を示すもので、悪用可能性が高ければ早い段階で悪用コードが出現する可能性が高く、早期に対策を行うべきだという判断材料となる。

 マイクロソフトでは、Exploitability Indexは企業のシステム部門など、修正パッチの適用を検討するような部署に向けて、どの修正パッチから検討を行うべきかの優先順位を決めるための判断材料などの目的で提供する情報であると説明。個人ユーザーに対しては、Microsoft Updateなどで推奨された修正パッチはすべて適用してもらいたいが、より詳細な情報を求めるユーザーのために追加情報としてExploitability Indexも提供するとしている。



URL
  マイクロソフト株式会社
  http://www.microsoft.com/japan/
  Exploitability Index(悪用可能性指標)についての解説
  http://www.microsoft.com/japan/technet/security/bulletin/cc998259.mspx
  マイクロソフト 2008年10月のセキュリティ情報
  http://www.microsoft.com/japan/technet/security/bulletin/ms08-oct.mspx

関連記事
  ・ マイクロソフトが10月の月例パッチ公開、“緊急”4件を含む計11件(2008/10/15)


( 三柳 英樹 )
2008/10/15 18:59

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.