マイクロソフトのセキュリティパッチ提供の判断基準を読んでみた

今回はアンチウイルスとは直接関係がないのですが、セキュリティに関する意識を高めていただくために、「マイクロソフトのセキュリティパッチ提供の判断基準」を紹介します。

セキュリティ対策の第一歩というか基本なのですが、ソフトウェアを最新にしておくことはとても重要です。人によっては「常に最新の状態にしておけば、セキュリティ対策は万全」という方もいます。はたしてして、そうでしょうか？

長らくソフトウェアのマーケティング部門に関わってきた経験から言いますと、セキュリティパッチを適用するだけでは不十分です。大半のソフトウェアメーカーは、パッチを当てる事象のレベルを分けており、最優先事項から対応していきます。つまり、後回しになる事象も当然あるわけです。

セキュリティパッチを公開するだけでも、メーカーにはコストが発生するので、すべてに対応するわけにはいかないのです。セキュリティパッチを公開するにあたっては、開発者、品質管理、マーケティング部門のコストがかかっています。また、あまりにもパッチ公開の頻度が多いと利用者が不安になったり、面倒になったりするので、あまり頻度が高いのも考え物です。パッチ提供の裏事情としては、このようなこともあることを念頭に置いておいてください。

さて、表題の件ですが、2018年6月に「Microsoft Security Servicing Commitments」が公開されました。Microsoftと言えば、PCを使っている人であれば大半の方が利用しているOS「Windows」やオフィススイート「Microsoft Office」を提供している会社です。その会社のセキュリティパッチ提供の基準の話になります。興味がある方は以下の意訳文を参照ください。

上記のドキュメントでは、同社がどの脆弱性を修正する必要があるかを判断する際に用いるセキュリティサービス基準について説明しています。この内容を一言で要約すると、以下の2点を両方ともクリアした場合、セキュリティ更新プログラムが適用するとなります。

• マイクロソフトが防御するべきセキュリティの範囲、またはセキュリティ機能でコミットしている内容に対象となる脆弱性が合致する場合
• 対象となる脆弱性の重要度がサービス品質を損なうものである場合

上記のいずれかに合致しない場合は、マイクロソフトは次のバージョンがリリースされるまで脆弱性の対応を延期すると書かれています。場合によっては例外が発生する可能性はありますが、次のセキュリティ更新プログラムでは対処されません。

またこのドキュメントでは、脆弱性の重要度カテゴリをクリティカル、重要、中、低、なしと定義しています。同社は、クリティカルおよび重要なカテゴリに属する脆弱性にのみ対処することをコミットしています。裏を返せば、前述のカテゴリにおいて、中と低については認識しても対応しないということを意味しています。

セキュリティの世界においては、ごく小さな脆弱性でも突かれる可能性があります。サイバー攻撃に対する損害賠償の額は、その企業がどこまで対応していたかによっても変わってきます。つまりは、とることができる対策はできる限りで対応しておく必要があるということです。

セキュリティパッチは大前提として必要ですが、同時に効果的なアンチウイルスも導入しておかないと、企業としてはサイバー攻撃に対する対応をしているとは言えないでしょう。

著者プロフィール

吉政忠志

業界を代表するトップベンチャー企業でマーケティング責任者を歴任。30代前半で同年代国内トップクラスの年収を獲得し、伝説的な給与所得者と呼ばれるようになる。現在は、吉政創成株式会社 代表取締役、DoctorWeb Pacific　マーケティングアドバイザーを兼任。