マイクロソフトは4月4日、同社が毎月実施しているセキュリティ情報の事前告知の内容を、全世界で4月配信分から変更すると発表した。個別の製品ごとに、セキュリティ上の弱点(脆弱性)の深刻度を告知するなど、より具体的にする。従来は製品のグループごとに大まかな情報を提供していただけだった。
マイクロソフトは毎月第2水曜日に、セキュリティの脆弱性の情報や修正プログラムを公開している。これに先立つ3営業日前、つまり毎月第1金曜日に、その月のセキュリティ情報を告知している。今月は6日に告知し、翌週の11日に詳細なセキュリティ情報を公開する予定だ。
新しい事前告知内容では、(1)セキュリティ情報ごとの深刻度、(2)個別製品のバージョンやサービスパックごとの深刻度、(3)発見された脆弱性の影響、(4)セキュリティ更新プログラムの適用状況を検出するための情報、(5)セキュリティ情報で影響を受けるソフトウエア、を公開する。
セキュリティレスポンスチームの小野寺匠セキュリティ レスポンス マネージャは、今回の変更により、「自社に関係があるかどうかを容易に判別してもらえるようになる。製品ごとの深刻度を事前に告知するため、企業のセキュリティ担当者には、セキュリティ修正作業の事前準備をすべきか判断してもらったり、対応作業の優先順位をつけたりしやすくなるだろう」と話す。
従来は「Windowsに関するものが9件(緊急,再起動が必要)」とか「Officeに関するものが1件(重要)」といった具合に、製品の大まかなグループごとの情報しか事前に告知していなかった。深刻度についても、従来は事前に告知していたのは最大深刻度のみだったため、具体的にどんな深刻度があったのか分からなかった。このため、「企業のセキュリティ担当者から、自社で使っている製品にどれくらいの関係があるのか分かりにくいという指摘を受けていた」(同)。
これまで大ざっぱにしか事前告知をしていなかった理由は、「あまり詳細な情報を事前に告知すると、製品にセキュリティの脆弱性があると分かってしまい、攻撃の手段を広めてしまいかねない」(小野寺氏)という判断があったからだ。「マイクロソフト本社で、製品名と深刻度くらいならば、事前に告知しても攻撃手段を調べるのは難しいだろうと考え、変更にいたった」(同)。具体的な脆弱性の内容は、これまで通りセキュリティ情報を公開する第2水曜日に公表する。
