マイクロソフトは2007年4月4日、セキュリティパッチに関する事前告知の内容を従来よりも詳細にすると発表した。同社は毎月セキュリティパッチを公開する3営業日前に告知している。今回の変更により、企業のセキュリティ担当者が「自社に関係のあるセキュリティパッチなのかどうか」などを早めに把握し、企業内での適用体制や適用指示などの事前準備を行いやすくするのが狙いである。
従来、事前情報を公開しているWebページ「セキュリティ情報の事前通知」では、その月に公開されるパッチに関する深刻度、そのパッチをパソコンにきちんと適用されているかどうかを判別するための方法などを大ざっぱに公開していた。例えば、複数のパッチを公開する場合は、その中で最も高い深刻度を公開していたり、Windows XPやWindows 2000などではなくWindowsファミリーなどの製品群ごとに概要を公開していた。
このため、企業のセキュリティ担当者は自社で適用すべきパッチなのか、早急に適用すべきなのか、などをきめ細かく判断することができなかった。これまで、詳細な情報を公開しなかった理由を「情報を公開することで攻撃を受けてしまう危険性を注意深く吟味する必要があった。これまで公開前に情報が出てしまったケースを分析し、ここまでなら出すことができると判断できたレベルまでを公開することにした」とマイクロソフトは説明している。
今後は、セキュリティパッチの対象となる製品、ぜい弱性の深刻度(4段階)、パッチの適用方法や適用されているかどうかを調べる方法、ぜい弱性の影響(ぜい弱性を悪用された場合にどのようなことが行われる可能性があるのか)、影響を受けるソフトウエア(ぜい弱性のあるソフトウエア)、などの情報を事前に公開する。
 |
|
