Microsoftは「共通セキュリティ勧告フレームワーク」(CSAF)に沿って、脆弱性の開示方法を刷新すると発表した。これによって顧客の脆弱性対応の効率化と修復はどう変わるのだろうか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Microsoftは2024年11月11日(現地時間)の週、「共通セキュリティ勧告フレームワーク」(CSAF)に沿って脆弱(ぜいじゃく)性を開示すると発表した(注1)。この動きは、顧客が脆弱性により効率的に対応し、修復できるように支援することを目的としている。
CSAFは、標準化団体OASIS Openが開発した機械判読可能な形式のファイルで提供されるセキュリティアドバイザリー標準だ。製品のセキュリティアドバイザリー情報を効率的に自動処理できるため、組織がCVEをより速く大量に消化するのに役立つ。
顧客はこれまで通り、Microsoftのセキュリティアップデートガイドを通じて(注2)、あるいは「共通脆弱性報告フレームワーク」(CVRF)に基づくAPIを通じて、脆弱性に関する更新情報を入手できる。CVRFは脆弱性情報を開示するための標準機能だ。
Microsoftは脆弱性の開示に関する透明性を向上させるために一連の変更を加えており、CSAFの導入は3番目の取り組みだ。同社は2024年6月に「Cloud Service CVE」を発表し(注3)、同年4月には「Common Weakness Enumeration standard」を利用して根本原因に関する分析を公開すると発表した(注4)。
同社は1年前に「Secure Future Initiative」と呼ばれるプログラムの下で、セキュリティ文化の全面的な見直しをすると発表した(注5)。
Microsoftは、国家に関連する攻撃者による「Microsoft Exchange Online」に対するハッキングの対策としてこのプログラムを開始した(注6)。このハッキングにより、米国国務省から数万件の電子メールが盗まれ、機密性の高い顧客のアカウントへの侵入が引き起こされた。
サイバー安全審査会(CSRB)は2024年4月に報告書を発表し(注7)、2023年のハッキングは完全に防げたものであり、Microsoftは製品開発の際にセキュリティよりも市場へのサービス提供の速さを優先したと厳しく指摘した。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2年以上前から(注8)、CSAFのフォーマットの導入を提唱していた。その理由は、ネットワーク防衛者が分析および修復する必要がある脆弱性の急増を管理するために同フォーマットが役立つためである。
CISAの広報担当者は「Cybersecurity Dive」に対して電子メールで次のように述べた。
「ソフトウェアベンダーは、新たな脆弱性によって自社製品が影響を受けているかどうかを理解しようと常に努力している。CSAFの活用により、ベンダーは私たちのコミュニティーに対して、脆弱性をエンドユーザーに対して迅速かつ自動的に開示するための標準化されたアプローチを提供できるようになる」
(注1)Toward greater transparency: Publishing machine-readable CSAF files(Microsoft)
(注2)Security Update Guide(Microsoft)
(注3)Toward greater transparency: Unveiling Cloud Service CVEs(Microsoft)
(注4)Google(Google)
(注5)Microsoft overhauls cyber strategy to finally embrace security by default(Cybersecurity Dive)
(注6)Microsoft warns China-linked APT actor hacked US agency, other email accounts(Cybersecurity Dive)
(注7)Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
(注8)Transforming the Vulnerability Management Landscape(CISA)
© Industry Dive. All rights reserved.