Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット:Cybersecurity Dive
MicrosoftはCommon Weakness Enumeration(共通脆弱性列挙)という業界標準の体系を使用して脆弱性を分類すると発表した。これによって事業者たちにはどのような変化やメリットが生じるのか。
Microsoftは、2024年4月8日(現地時間)のブログ投稿で(注1)、Common Weakness Enumeration(共通脆弱《ぜいじゃく》性列挙)という業界標準の体系を使用して、脆弱性の根本的な原因となるデータを公開すると発表した。
Microsoftが業界標準の脆弱性評価体系を使用すると発表 このメリットは何か?
何十年もの間、Microsoftは独自の分類法によって脆弱性の原因を説明してきた。今回の変更は、製品とサービスをより安全なものとし、透明性を高めるための大きな取り組みの一環だ。
Microsoftのリサ・オルソン氏(セキュリティ領域のプログラムマネジャー)は、ブログの中で次のように述べた。
「標準体系の採用は、既存のソフトウェアやハードウェアの脆弱性を発見し、緩和するためのコミュニティー内での議論をより活発にし、将来のアップデートやリリースにおいても脆弱性を最小限に抑えることにつながる」
この変更は、Microsoftがセキュリティに関するアプローチを全面的に見直すために発表した「Secure Future Initiative」というプログラムの目標の中核的な要素でもある(注2)。
Microsoftがこの計画を発表したのは、国家とつながりのある脅威グループが「Microsoft Exchange Online」を攻撃し、顧客の電子メールにアクセスした数カ月後のことだった(注3)。この大改革は、同社がソフトウェアの製造方法を変更するための包括的な計画であり、透明性を高め、脆弱性に対する迅速な対応を可能にするという約束を含む。
セキュリティ企業のSynopsys Software Integrity Groupのエミール・モネット氏(バリューチェーンやセキュリティを担当するディレクター)は、次のように述べた。
「Microsoftのこの動きによって、全ての関係者が共通の体系を使用することになる。Microsoftの新しい脆弱性に対応する事業者は、MicrosoftのデータをCommon Weakness Enumerationのデータに変換する必要がなくなる。そのため、セキュリティ担当者の間のコミュニケーションがより円滑になる」
Microsoftのチャーリー・ベル氏(セキュリティを担当するエグゼクティブ・バイスプレジデント)は、2023年11月に開催された「Secure Future Initiative」の発表の中で、クラウドの脆弱性を軽減するために必要な時間を50%削減することを目標に設定し(注4)、セキュリティ研究者に課される秘密保持の制限に反対する意向を示した。
シンクタンクであるR Street Instituteのエイミー・チャン氏(サイバーセキュリティと新たな脅威を担当するシニアフェロー)は「Microsoftは、より透明で前向きな措置を講じている」と述べた。同社は、直近のパッチチューズデーにおけるアップデートで、「Windows」と関連ソフトウェアに対して、過去最多となる147のパッチをリリースした。
「Microsoftのセキュリティ施策の失敗や不備に対する監視の目が厳しくなっている今、脆弱性の根本的な原因を調査する方法を実質的に変えることは、賢明な行動だろう」(チャン氏)
(注1)Toward greater transparency: Adopting the CWE standard for Microsoft CVEs(Microsoft)
(注2)Microsoft overhauls cyber strategy to finally embrace security by default(Cybersecurity Dive)
(注3)Microsoft extends security log retention following State Department hacks(Cybersecurity Dive)
(注4)Announcing Microsoft Secure Future Initiative to advance security engineering(Microsoft)
関連記事
- Rustは「Go」や「C++」と比較して何が優れているのか? Googleエンジニアが語る
Googleは自社の経験を基に、ソフトウェア開発において、プログラミング言語RustがC++と比較して高い生産性と安全性を実現していると報告した。 - Linuxカーネルに特権昇格の脆弱性 急ぎ確認とアップデートを
NSFOCUSはLinuxカーネルの特権昇格の脆弱性(CVE-2024-1086)について詳細情報とPoCツールが公開されたとし、影響を受けるユーザーに対して修正されたバージョンへの迅速なアップデートを呼びかけた。 - Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か
Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。 - さくらインターネットのASNで重大なマルウェア活動を確認 HYAS Infosec調査
HYAS Infosecは週次の脅威インテリジェンスレポートを公開した。同レポートではマルウェア発生源となっている自律システムがまとめられており、その中でさくらインターネットのASNが挙がった。
© Industry Dive. All rights reserved.