Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット：Cybersecurity Dive

MicrosoftはCommon Weakness Enumeration（共通脆弱性列挙）という業界標準の体系を使用して脆弱性を分類すると発表した。これによって事業者たちにはどのような変化やメリットが生じるのか。

[David Jones，Cybersecurity Dive]

　Microsoftは、2024年4月8日（現地時間）のブログ投稿で（注1）、Common Weakness Enumeration（共通脆弱《ぜいじゃく》性列挙）という業界標準の体系を使用して、脆弱性の根本的な原因となるデータを公開すると発表した。

Microsoftが業界標準の脆弱性評価体系を使用すると発表　このメリットは何か？

　何十年もの間、Microsoftは独自の分類法によって脆弱性の原因を説明してきた。今回の変更は、製品とサービスをより安全なものとし、透明性を高めるための大きな取り組みの一環だ。

　Microsoftのリサ・オルソン氏（セキュリティ領域のプログラムマネジャー）は、ブログの中で次のように述べた。

　「標準体系の採用は、既存のソフトウェアやハードウェアの脆弱性を発見し、緩和するためのコミュニティー内での議論をより活発にし、将来のアップデートやリリースにおいても脆弱性を最小限に抑えることにつながる」

　この変更は、Microsoftがセキュリティに関するアプローチを全面的に見直すために発表した「Secure Future Initiative」というプログラムの目標の中核的な要素でもある（注2）。

　Microsoftがこの計画を発表したのは、国家とつながりのある脅威グループが「Microsoft Exchange Online」を攻撃し、顧客の電子メールにアクセスした数カ月後のことだった（注3）。この大改革は、同社がソフトウェアの製造方法を変更するための包括的な計画であり、透明性を高め、脆弱性に対する迅速な対応を可能にするという約束を含む。

　セキュリティ企業のSynopsys Software Integrity Groupのエミール・モネット氏（バリューチェーンやセキュリティを担当するディレクター）は、次のように述べた。

　「Microsoftのこの動きによって、全ての関係者が共通の体系を使用することになる。Microsoftの新しい脆弱性に対応する事業者は、MicrosoftのデータをCommon Weakness Enumerationのデータに変換する必要がなくなる。そのため、セキュリティ担当者の間のコミュニケーションがより円滑になる」

　Microsoftのチャーリー・ベル氏（セキュリティを担当するエグゼクティブ・バイスプレジデント）は、2023年11月に開催された「Secure Future Initiative」の発表の中で、クラウドの脆弱性を軽減するために必要な時間を50％削減することを目標に設定し（注4）、セキュリティ研究者に課される秘密保持の制限に反対する意向を示した。

　シンクタンクであるR Street Instituteのエイミー・チャン氏（サイバーセキュリティと新たな脅威を担当するシニアフェロー）は「Microsoftは、より透明で前向きな措置を講じている」と述べた。同社は、直近のパッチチューズデーにおけるアップデートで、「Windows」と関連ソフトウェアに対して、過去最多となる147のパッチをリリースした。

　「Microsoftのセキュリティ施策の失敗や不備に対する監視の目が厳しくなっている今、脆弱性の根本的な原因を調査する方法を実質的に変えることは、賢明な行動だろう」（チャン氏）

（注1）Toward greater transparency: Adopting the CWE standard for Microsoft CVEs（Microsoft）
（注2）Microsoft overhauls cyber strategy to finally embrace security by default（Cybersecurity Dive）
（注3）Microsoft extends security log retention following State Department hacks（Cybersecurity Dive）
（注4）Announcing Microsoft Secure Future Initiative to advance security engineering（Microsoft）

原文へのリンク