パッチ適用に備えた準備をよりラクに、MSが事前告知情報を強化

マイクロソフトは、パッチ適用前の準備をやりやすくするために、4月より月例セキュリティパッチに関するよ事前告知をより詳細にする。

[高橋睦美，ITmedia]

　マイクロソフトは4月より、月例セキュリティパッチに関する事前告知情報を強化し、製品ごとに、より詳細な情報を提供することを明らかにした。

　かつてマイクロソフトでは、セキュリティパッチを適宜リリースしていた。米国時間で毎月第2火曜日（日本時間では水曜日）に定期的に提供するように改めたのは、Blasterワームが猛威を振るった直後の2003年10月のことだ。

　2004年11月からは、セキュリティ情報の事前告知を開始した。特に企業の顧客から「パッチ検証のための時間を確保したい」「展開に要する人員や時間を用意したい」という要望があったためだ。パッチリリース日の3営業日前にWebと電子メールを介して公開され、その月に公開予定のセキュリティ情報（脆弱性／パッチ）の数と影響を受ける製品ファミリー、最大深刻度といった情報を提供してきた。

　4月からは、事前告知の提供内容がさらに詳細になり、毎月のセキュリティサマリー情報で提供されているのとほぼ同様のフォーマットで情報が提供される。電子メールによる事前告知も従来通り行われる。

　具体的には、製品単位で影響を受けるソフトウェアが示されるほか、バージョンごとに深刻度情報が提供される。また、最大深刻度やパッチ検出／展開に必要な情報も、その月ごとではなく、各セキュリティ情報（パッチ）単位で提供される。

　「自分が管理している環境では何件の影響が及び、うち『緊急』のものはいくつあるのかを事前に判別できるようになる」（マイクロソフト、セキュリティレスポンスチーム、セキュリティレスポンスマネージャの小野寺匠氏）

マイクロソフトセキュリティレスポンスチーム、セキュリティレスポンスマネージャの小野寺匠氏

　事前告知の内容をよりきめ細かくすることで、「そのまま印刷し、『このパッチは適用する必要がある』『これは必要ない』といった具合に指示書を作ることができると思う」（同氏）。パッチ適用に備えた事前の準備をやりやすくするとともに、優先順位付けを支援するという。

　ただ、マイクロソフトのスキームに沿って提供されるパッチの情報は、この枠組みを通して提供されるが、ゼロデイ脆弱性／攻撃の情報については、引き続きセキュリティアドバイザリーの形で情報を提供する。今後は、ブログを活用しての情報提供も検討していくという。