米Microsoftは米国時間10月15日,同社が公開しているセキュリティ・ホール情報「Security Bulletin」に,その情報がどの程度深刻なのかを明記することを明らかにした。
同社が公開してきた従来のセキュリティ情報は,その深刻さや影響範囲などが分かりにくいことが大きな問題だった。それが,パッチ(修正プログラム)が公開されたにもかかわらず,それを適用しないユーザーも多いということにつながっていた。今回の対応により,パッチを適用すべきかどうかの判断が,これまでよりは容易になると考えられる。
具体的には,対象を「インターネット・サーバー」,「イントラネット・サーバー」,「クライアント」に分類し,それぞれに対する影響の大きさを「高」,「中」,「低」のいずれかで示すことにした。次に公開するSecurity Bulletin から,この基準を適用するという。日本法人のマイクロソフトが公開している,Security Bulletinの日本語版「マイクロソフト セキュリティ情報」にも反映されるものと期待される。
2000年中に同社が公開したセキュリティ・ホール情報は100件にのぼった。次々に公開される情報がすべて同じように記述されているため,ユーザーは「そのセキュリティ・ホール情報が重要なのかどうか」,「自分のシステムに関係があるのかどうか」,「パッチを適用すべきかどうか」---などを判断することが難しかった。実際,同社に対して「深刻さの度合いなどを明記してほしい」という要求がユーザーから寄せられていたという。今回の対応は,その要求にこたえるものである。
Nimdaが悪用したセキュリティ・ホールは「高」
ユーザーのシステム環境によって,セキュリティ・ホールがおよぼす影響の深刻さは大きく異なる。そのため,対象システムを以下の3種類に分類し,それぞれに対する深刻さを示している。
- インターネット・サーバー(Internet-facing server)
- イントラネット・サーバー(Internal server)
- クライアント(Client system)
深刻さは次の3段階である。
- 高(critical)
- 中(moderate)
- 低(low)
例えば,インターネット・サーバーでは,通常の運用においてWebページの改ざんやサーバーの乗っ取りなどを許す恐れがある深刻なセキュリティ・ホールを「高」とする。「sadmind/IIS」や「Code Red」,「Nimda」ウイルス/ワームが悪用した,Internet Information Server/Services のセキュリティ・ホールなどが該当する。
デフォルト設定では影響を受けず,通常は使用しないサービスを提供している場合のみ深刻な影響を受けるセキュリティ・ホールは「中」,セキュリティ・ホールの影響自体が小さい場合には「低」としている。「低」としては,例えばASPページのソース・コードを表示してしまうセキュリティ・ホールを挙げている。
クライアントについては,ユーザーに警告することなく,任意のスクリプトやプログラムが実行されてしまうセキュリティ・ホールを「高」としている。Nimdaが悪用した Internet Explorer のセキュリティ・ホールがこれに当たる。
ただし,同社によるランク付けは過去の経験と主観的な判断に基づくもの。ユーザーの環境によっては正確でない場合もある,と断っている。最終的には,ユーザーの自己責任でパッチを適用するかどうか判断する必要がある。とはいえ,判断基準がなかった従来のセキュリティ情報と比較すれば,前進したことは確かである。
◎参考文献
◆Microsoft Security Response Center Security Bulletin Severity Rating System
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
