企業においては、セキュリティ更新プログラムを適用する前に自社内でテストするため、適用の優先度を知りたいというお客様の要望があります。そこで、マイクロソフトは、適用優先度の評価基準として「深刻度」と「悪用可能性指標(Exploitability Index)」の情報を提供してきました。今月のセキュリティ更新プログラムから、「悪用可能性指標」の内容が変わりましたので、その内容について説明します。
「悪用可能性指標」は、2008 年 10 月より毎月のセキュリティ更新プログラムのリリースと同時に公開している情報で、それぞれの脆弱性について、脆弱性の悪用が成功する可能性を「1 - 安定した悪用コードの可能性」「2 - 不安定な悪用コードの可能性」「3 - 機能する見込みのない悪用コード」の 3 段階で評価しています(「1」のほうがより深刻)。2011 年 5 月から、「悪用可能性指標」について、ユーザーがより詳細にセキュリティ更新プログラムを細かく評価できるよう、以下の 2 点を変更しました。
- これまでの「悪用可能性指標」を、最新のソフトウェア(例:Windows 7 SP1, Office 2010)の評価と最新ではないソフトウェアの評価の2つに分ける
- 「サービス拒否」の詳細評価を追加
これによって、ユーザーは、最新のソフトウェアのセキュリティ強化(例:Office 2010 のファイル検証機能など)が、悪用の可能性を軽減するかを判別できます。また、「サービス拒否」については、攻撃が中止されれば自然復旧するタイプのサービス拒否(「一時的」と評価)なのか、攻撃によってシステムクラッシュするタイプ(「永続的」と評価)か判断することができ、特にインターネットに接続しているシステムの適用優先度の評価に役立ちます。具体的には、次のように変更されますのでご確認ください。
4 月の「悪用可能性指標」 (変更前)
5 月の「悪用可能性指標」 (変更後)
