MS、脆弱性情報の新指標を公開開始
マイクロソフトは、月例のセキュリティ情報に脆弱性が悪用させる可能性を示す新指標「Exploitability Index」を導入した。
マイクロソフトは10月15日、同社の脆弱性が悪用される可能性を示す新指標「Exploitability Index(悪用可能性指標)」を導入した。月例のセキュリティ情報と併せて公開する。
Exploitability Indexは、従来から提供している脆弱性の技術的な4段階の深刻度指標に加え、将来的に脆弱性が悪用される可能性や悪用する難易度を示すもの。
指標は、悪用コードの出現率が高く、攻撃の成功率が高い「1 - 安定した悪用コードの可能性」、悪用コードの出現率が高いが、攻撃の成功率が低い「2 - 不安定な悪用コードの可能性」、攻撃の際に特別な環境を必要とするなど悪用コードが機能する可能性が低い「3 - 機能する見込みのない悪用コード」の3段階で表している。
セキュリティレスポンスチームの小野寺匠マネジャーによると、従来の深刻度指標はウイルス発生などの可能性を示したものだが、新指標は脆弱性攻撃の可能性を示すもので、深刻度指標とは異なるものになるという。
新指標を参考にすることで、例えばミッションクリティカルなシステムを管理する企業の担当者がセキュリティパッチをどのような順番で適用したらよいかといった目安が分かると、小野寺氏は説明する。
小野寺氏は、「従来は脆弱性の影響度を公開することで攻撃者の行動を促す恐れがあったが、ユーザーのセキュリティ意識が高まっていることもあり、新たな指標がユーザーの参考になることを期待したい」と話している。
関連記事
MSが月例セキュリティ情報を公開、IEやExcelの脆弱性に対処
Microsoftは事前通知の通り「緊急」4件、「重要」6件、「警告」1件の脆弱性を修正するプログラムを公開した。
MSが脆弱性情報を開示する新プログラム
セキュリティソフトメーカーとユーザー支援のために「Microsoft Active Protections Program」と「Exploitability Index」を導入する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。