米Microsoftは7月28日(現地時間)、同社が提供する「Microsoft Active Protections Program (MAPP)」に米Adobe Systemsが今年秋から参加することを発表した。MAPPはMicrosoft製品の脆弱性情報をセキュリティソフトウェア企業など、参加パートナーらの間で早期に共有し、顧客らのシステムをセキュリティ上の危険から守ることを目的としたもの。このほか、「Coordinated Vulnerability Disclosure」と呼ばれる脆弱性情報の共有に関する新しいポリシーへの取り組み、新セキュリティツール、ガイダンスなども発表されている。
MAPPは2008年10月にMicrosoft Security Response Center (MSRC)によって設立されたパートナープログラムの1つ。現在、Microsoftは月例アップデートとして定期的に同社製品向けの脆弱性対策パッチを提供しているが、こうしたアップデートが提供される以前の早期の段階でセキュリティ企業ら特定パートナーらとの間で情報を共有し、自身の製品に対する対策や顧客へのフィードバックを行うことを目的としている。Microsoftによれば現時点で65のパートナーが参加しており、これに新たにAdobeが加わる形となる。
このほか、Microsoftではセキュリティ対策に関する新たな取り組みについても説明している。例えば「Coordinated Vulnerability Disclosure」とは、脆弱性情報の公開をある一定のルールで行い、関係各所の間での情報共有を素早く行うものとなる。一般に、セキュリティ上の脆弱性が公表されたタイミングで、それを利用した攻撃手法が悪意のある第三者に開発されることになる。その前に企業らはセキュリティ対策を済ませなければならないが、こうした開発サイクルは年々縮まっており、対策が難しくなっている。そこで、CERT-CCをはじめセキュリティ対策の必要のある関係各所の間で素早く情報を共有する仕組みを作り、こうした脆弱性が公になる前に秘密裏に対策を進めることが急務となっている。特定の1社が脆弱性を隠したまま対策を進めるのではなく、これを一定のルールでオープンにしていこうというのがCoordinated Vulnerability Disclosureとなる。これがMicrosoftのセキュリティと責任に対する新たな取り組みだ。
Microsoftではセキュリティ対策の一環として、「Enhanced Mitigation Experience Toolkit (EMET)」という新ツールも発表している。EMETはセキュリティ対策の不完全な旧システムなどを保護するためのフリーツールだ。提供時期は8月を予定している。また脆弱性対策におけるホワイトペーパー(英文)も公開しており、参考にしてみるといいだろう。
