今年最後となる 12 月度の月例セキュリティ リリースも終わり、今年 1 年のセキュリティ リリースの振り返りをしてみたいと思います。2011 年は、合計 99 件のセキュリティ情報を公開し、計 232 件の CVE に対応しました。セキュリティ情報の公開数および対応した CVE の数は、2010 年下半期をピークにやや減少傾向にあります (図 1)。
図 1: 半期ごとのセキュリティ情報公開数および CVE 対応数 (2006 年上半期 ~ 2011 年下半期)
緊急度の高いセキュリティ情報の減少
セキュリティ情報には「緊急」「重要」「警告」「注意」の 4 段階の深刻度を設定していますが、2011 年は 4 段階で最も高い「緊急」の割合が、全体の 3 分の 1 に留まりました (図 2)。これは、2003 年に月例のセキュリティ リリースを始めて以来初のことです。また、絶対数においても「緊急」のセキュリティ情報の数は 2006 年以降初めて最少となっています (図 3)。
マイクロソフトは 2002 年の「信頼できるコンピューティング」宣言以来、よりセキュアな製品の開発に力を入れてきました。製品自体の脆弱コードを減らす努力に加え、脆弱性が悪用されにくい製品の開発 (既定では実行がブロックされる、実行にはユーザーの操作を介す等) に力を入れており、この結果、お客様に与える影響をより低く抑えることができてきていると分析しています。
図 2: 深刻度別セキュリティ情報の割合 (2004 年 ~ 2011 年)
図 3: 深刻度別セキュリティ情報の数 (2004 年 ~ 2011 年)
定例外のリリース 0 件 **
2011 年、定例外 [i] で公開したセキュリティ情報は 0 件でした。過去数年、定例外のセキュリティ情報のリリースは、年 2-3 件というのが定番でした。0-day [ii] などで感染活動が拡大しておりユーザーへの危険性が高い場合のみ定例外リリースを検討するのですが、この不定期なリリースによるお客様のビジネス継続へのインパクトも理解しており、定例外リリースというものをより慎重に捉えるようにしてきています。より進んだ脅威の観測や分析、回避策の提供、Microsoft Active Protection Program (MAPP) を通じての保護策の提供、開発チームの努力なども、マイクロソフトが定例でセキュリティ情報を公開できている大きな理由です。
2012 年、社内および業界での連携をより一層強化して、お客様がより安全に安心してコンピューターを使用いただけるよう努めてまいります。皆様よい年末、そして新年をお迎えください。
参考
A look back at 2011’s security landscape
http://blogs.technet.com/b/msrc/archive/2011/12/13/a-look-back-at-2011-s-security-landscape.aspx
[i] 月例のセキュリティ情報公開日以外に緊急でセキュリティ情報を公開すること
[ii] セキュリティ更新プログラムが提供される前に、その脆弱性に対する攻撃が行われたり、悪用する不正プログラムが出現すること