Microsoftが脆弱性の開示方法を刷新 CSAFに沿って脆弱性対応を効率化:Cybersecurity Dive
Microsoftは「共通セキュリティ勧告フレームワーク」(CSAF)に沿って、脆弱性の開示方法を刷新すると発表した。これによって顧客の脆弱性対応の効率化と修復はどう変わるのだろうか。
Microsoftは2024年11月11日(現地時間)の週、「共通セキュリティ勧告フレームワーク」(CSAF)に沿って脆弱(ぜいじゃく)性を開示すると発表した(注1)。この動きは、顧客が脆弱性により効率的に対応し、修復できるように支援することを目的としている。
Microsoftが大改革 CSAF導入までのいきさつと導入の意義とは?
CSAFは、標準化団体OASIS Openが開発した機械判読可能な形式のファイルで提供されるセキュリティアドバイザリー標準だ。製品のセキュリティアドバイザリー情報を効率的に自動処理できるため、組織がCVEをより速く大量に消化するのに役立つ。
顧客はこれまで通り、Microsoftのセキュリティアップデートガイドを通じて(注2)、あるいは「共通脆弱性報告フレームワーク」(CVRF)に基づくAPIを通じて、脆弱性に関する更新情報を入手できる。CVRFは脆弱性情報を開示するための標準機能だ。
Microsoftは脆弱性の開示に関する透明性を向上させるために一連の変更を加えており、CSAFの導入は3番目の取り組みだ。同社は2024年6月に「Cloud Service CVE」を発表し(注3)、同年4月には「Common Weakness Enumeration standard」を利用して根本原因に関する分析を公開すると発表した(注4)。
同社は1年前に「Secure Future Initiative」と呼ばれるプログラムの下で、セキュリティ文化の全面的な見直しをすると発表した(注5)。
Microsoftは、国家に関連する攻撃者による「Microsoft Exchange Online」に対するハッキングの対策としてこのプログラムを開始した(注6)。このハッキングにより、米国国務省から数万件の電子メールが盗まれ、機密性の高い顧客のアカウントへの侵入が引き起こされた。
サイバー安全審査会(CSRB)は2024年4月に報告書を発表し(注7)、2023年のハッキングは完全に防げたものであり、Microsoftは製品開発の際にセキュリティよりも市場へのサービス提供の速さを優先したと厳しく指摘した。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2年以上前から(注8)、CSAFのフォーマットの導入を提唱していた。その理由は、ネットワーク防衛者が分析および修復する必要がある脆弱性の急増を管理するために同フォーマットが役立つためである。
CISAの広報担当者は「Cybersecurity Dive」に対して電子メールで次のように述べた。
「ソフトウェアベンダーは、新たな脆弱性によって自社製品が影響を受けているかどうかを理解しようと常に努力している。CSAFの活用により、ベンダーは私たちのコミュニティーに対して、脆弱性をエンドユーザーに対して迅速かつ自動的に開示するための標準化されたアプローチを提供できるようになる」
(注1)Toward greater transparency: Publishing machine-readable CSAF files(Microsoft)
(注2)Security Update Guide(Microsoft)
(注3)Toward greater transparency: Unveiling Cloud Service CVEs(Microsoft)
(注4)Google(Google)
(注5)Microsoft overhauls cyber strategy to finally embrace security by default(Cybersecurity Dive)
(注6)Microsoft warns China-linked APT actor hacked US agency, other email accounts(Cybersecurity Dive)
(注7)Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
(注8)Transforming the Vulnerability Management Landscape(CISA)
© Industry Dive. All rights reserved.
関連記事
FortiClient VPNサーバに見つかった“ヤバい問題” Fortinetは脆弱性と認めず
FortiClient VPNサーバから認証成功ログを記録しない問題が発見された。この欠陥はFortinetに報告されたが脆弱性として認められていない。この問題を悪用されるとどのようなリスクが生じるのか。クレジットカードを少額で不正利用されていない? 巧妙な新手口を解説
サイバー攻撃は個人にとっても無関係ではありません。特にフィッシング攻撃の進化は著しく、新しい手法が日々確認されています。今回は筆者が気になる最新のフィッシング手法を紹介しましょう。攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。「え、こんなところからマルウェアに感染?」 BYODに潜む大きな“ワナ”
「BYOD(Bring Your Own Device)」を採用している多くの企業で「組織の一員」と「個人」の線引きが曖昧になった結果、思わぬ情報漏えい被害が生まれています。今回は最近増加している“意外”なマルウェア感染事例を紹介します。