中小・中堅企業を中心に、専任のセキュリティ担当者がいない組織はいまだに多い。その一方で、サイバー攻撃の手段は巧妙になっており、情報収集は欠かせない。Windowsの場合、マイクロソフトが一定のスケジュールでセキュリティ関連情報を提供している。サイバー攻撃の中には、Windowsのセキュリティ上の「穴」を狙うものもある。情報収集の手段と適切な読み解き方について、2回に分けて解説する。

マイクロソフトのセキュリティ問題とは?

 Windowsのセキュリティに関する情報は「セキュリティ TechCenter」(https://technet.microsoft.com/ja-jp/security)から入手可能だ。マイクロソフトは現在、毎月第2火曜日にセキュリティ情報を公開している。

マイクロソフトの「TechNet」内にある「セキュリティ TechCenter」。タイトル下にカテゴリとして「ホーム」「セキュリティ更新プログラム」「ツール」……「サポート」があり、その下にさらにサブカテゴリーが青字のリンクとして表示される
マイクロソフトの「TechNet」内にある「セキュリティ TechCenter」。タイトル下にカテゴリとして「ホーム」「セキュリティ更新プログラム」「ツール」……「サポート」があり、その下にさらにサブカテゴリーが青字のリンクとして表示される
[画像のクリックで拡大表示]

 セキュリティ(コンピュータセキュリティ)という言葉が含む範囲は広いが、マイクロソフトのセキュリティサイトで扱うのは、おもに「脆弱性」にかかわる問題だ。マイクロソフトは、脆弱性を「攻撃者が製品の完全性、可用性、または機密性を侵害する可能性のある製品の弱点」と定義している。

 セキュリティ的に弱くても、製品の仕様そのものは脆弱性にはならない。例えば、強度があまり強くない暗号化アルゴリズムを採用するのは脆弱なソフトウエアとは言えるが、脆弱性にはならない。一方、強度の高い暗号化アルゴリズムを使っていても、暗号化キーやその一部が容易に推測できるような構造になっていたとしたら、それは脆弱性になる。

 かつて脆弱性情報は、ベンダーが把握していても自社の内部にとどめておき、外部に情報が公開することはほとんどなかった。しかし現在は、脆弱性情報の公開が普通になっている。これを「フル・ディスクロージャー」あるいは「脆弱性情報公開ポリシー」という。そうしたポリシーが広く運用されているために第三者による脆弱性情報のデータベース化も可能になった。

 ただし、ポリシーは同一でも国や地域、組織などにより運用が異なることがある。マイクロソフトは、これを「協調的な脆弱性の公開」(Coordinated Vulnerability Dsiclosure、CVD)と呼んでいる。このポリシーのため、マイクロソフト自身が発見したサードパーティの脆弱性もこのポリシーにしたがって対応が行われる。