ニュース
» 2008年10月15日 13時20分 公開

MS、脆弱性情報の新指標を公開開始

マイクロソフトは、月例のセキュリティ情報に脆弱性が悪用させる可能性を示す新指標「Exploitability Index」を導入した。

[國谷武史,ITmedia]

 マイクロソフトは10月15日、同社の脆弱性が悪用される可能性を示す新指標「Exploitability Index(悪用可能性指標)」を導入した。月例のセキュリティ情報と併せて公開する。

 Exploitability Indexは、従来から提供している脆弱性の技術的な4段階の深刻度指標に加え、将来的に脆弱性が悪用される可能性や悪用する難易度を示すもの。

 指標は、悪用コードの出現率が高く、攻撃の成功率が高い「1 - 安定した悪用コードの可能性」、悪用コードの出現率が高いが、攻撃の成功率が低い「2 - 不安定な悪用コードの可能性」、攻撃の際に特別な環境を必要とするなど悪用コードが機能する可能性が低い「3 - 機能する見込みのない悪用コード」の3段階で表している。

深刻度が高くでも悪用の可能性が低いものや、深刻度が低くても悪用の可能性が高いものもあり、実際には2つの指標を併用することが望ましいという

 セキュリティレスポンスチームの小野寺匠マネジャーによると、従来の深刻度指標はウイルス発生などの可能性を示したものだが、新指標は脆弱性攻撃の可能性を示すもので、深刻度指標とは異なるものになるという。

 新指標を参考にすることで、例えばミッションクリティカルなシステムを管理する企業の担当者がセキュリティパッチをどのような順番で適用したらよいかといった目安が分かると、小野寺氏は説明する。

 小野寺氏は、「従来は脆弱性の影響度を公開することで攻撃者の行動を促す恐れがあったが、ユーザーのセキュリティ意識が高まっていることもあり、新たな指標がユーザーの参考になることを期待したい」と話している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -