マイクロソフトは11月19日,同社が公開する「セキュリティ情報」において,その深刻度の評価方法を変更した。従来は「高(High)」,「中(Moderate)」,「低(Low)」の3段階であったものを,「緊急(Critical)」,「重要(Important)」,「警告(Moderate)」,「注意(Low)」の4段階にする。

 また,従来はシステム環境ごと(「インターネット・サーバー」,「イントラネット・サーバー」,「クライアント・システム」)に深刻度を評価していたが,これを中止する。つまり,1つのセキュリティ・ホールに対して,1つの深刻度を設定することになる。なお米Microsoftは米国時間11月18日に,今回の評価方法の変更を発表している

 同社が公開している「よく寄せられる質問」によると,4段階に変更する理由として「Code RedやNimdaなどに悪用されたような,非常に深刻なセキュリティ・ホールが,その他の多くのセキュリティ・ホールと同様に『高』に設定されることになり,違いが明確にならない」ことなどを挙げている。新しい評価方法では,前者は「緊急」,後者の多くは「重要」に設定されると考えられる。

 また,「実際には,複数の環境に該当するシステム(例えば,インターネット・サーバーであるとともにイントラネット・サーバーでもあるシステム)が多く,ユーザーに混乱を与える」ために,システム環境ごとの評価を中止するとしている。

 同社によると,「緊急」または「重要」と評価されたセキュリティ・ホールについては,パッチ(修正プログラム)を適用する必要があり,特に「緊急」については直ちに適用する必要があるとしている。

 「警告」または「注意」については,セキュリティ情報を読んで,セキュリティ・ホールが自分のシステムに影響を及ぼすかどうかを判断する必要がある。その上で,パッチの適用がシステムに影響を与えないと判断できたら適用することになる。

 ほとんどのユーザーは影響を受けないと考えられるセキュリティ・ホールは,「注意」と評価される。ただし影響を受ける可能性はゼロではないので,「警告」または「注意」と同様に,セキュリティ情報を読んだ上で,必要に応じてパッチを適用する必要があるだろう。

◎参考文献
マイクロソフトセキュリティ情報の深刻度評価システム(改訂版 2002年11月)
よく寄せられる質問
Security Bulletin Severity Rating System(Revised, November 2002)

(勝村 幸博=IT Pro)