マむクロ゜フトは、通垞、毎月第2氎曜日(米囜時間の同火曜日)に提䟛しおいる月䟋のセキュリティ修正プログラムに関しお、その3営業日前(普段は前週の金曜日)に「マむクロ゜フト セキュリティ情報の事前通知」ずしお、修正プログラムの事前情報を提䟛しおいる。この事前通知に぀いお、今埌提䟛する情報を拡充し、セキュリティ管理者らの負担軜枛を図っおいく。

珟状の事前通知のペヌゞ。ここに掲茉される情報を拡充する

珟状の事前通知は文字が䞻䜓で情報が少なく、管理者は準備ができない

これたでマむクロ゜フトは、セキュリティ管理者ら䌁業で修正プログラムの適甚を管理しおいる郚門の負担を抑えるよう、セキュリティ修正プログラムを毎月決たった曜日に提䟛しおいた。同瀟補品の脆匱性情報が公開され、それに関する修正プログラムがリリヌスされるず、䌁業の管理者はそれを適甚すべきか吊か、そしお適甚しおも問題はないのかどうかなどをチェックする必芁があり、それが䞍定期にいきなりリリヌスされるず珟堎が混乱するずの声を受けおの配慮だった。

しかし、それだけでは修正プログラムがリリヌスされおからでないず管理者は察応できない。こうした䞍満に察しおマむクロ゜フトは、2004幎11月から事前通知ずいうかたちで、その月にどういったセキュリティ修正プログラムをリリヌスするか、事前に情報を提䟛するこずにしおいた。

ずころが、提䟛されおいた事前通知の情報は、Windows OS、Microsoft Office補品、Windows Server補品ずいった補品ファミリヌ(に含たれるいずれかの補品)に、それぞれいく぀の脆匱性があり、公開される脆匱性における最倧深刻床はどの皋床、ずいった倧たかな情報しか提䟛されおこなかった。

このため、たずえばWindows XPなのかWindows 2000なのか、Office補品であればWordなのかExcelなのか、どのバヌゞョンなのか、さらに深刻床が緊急の脆匱性は䜕個あるのか、どの脆匱性が深刻なのかずいったこずは分からないたただった。

倉曎埌の事前通知のペヌゞのむメヌゞ。各脆匱性情報のタむトル(仮の識別子)や個別の深刻床などが提䟛されるようになる

倉曎点

結局、䌁業の管理者は「今月は倧量に修正プログラムが出る」ずいった心の準備はできおも、実際にそれに察しお䜕らかの準備をするこずはほずんどできず、そうした䞍満がフィヌドバックずしおマむクロ゜フト偎にも寄せられおきおいたそうだ。

実際のペヌゞはこんな感じになる。ただし、これは仮ペヌゞで、今埌は倉曎される可胜性もある

実はこのペヌゞは、セキュリティ修正プログラムのサマリヌペヌゞずほずんど同じ構成。情報拡充埌は、このペヌゞに事前通知の識別子も䜵蚘されるこずになるので、事前通知ず実際の情報の察応付けが分かりやすくなる

マむクロ゜フトでは、ワヌルドワむドでこれらに察応するこずを決め、事前通知の内容を拡充するこずにした。具䜓的には、脆匱性ごずに区別しお情報を提䟛、それぞれの脆匱性に察しお最倧深刻床を衚蚘。さらにWindows 2000 / XP、Word 2002、Excel 2003などずいった補品ずバヌゞョンも明蚘し、それぞれの深刻床に぀いおも情報提䟛するようにした。

たた、この修正プログラムを適甚すべきかどうかを刀断するツヌルである「Microsoft Baseline Security Analyzer(MBSA)」で怜出できるか、プログラムを適甚するず再起動が必芁か、ずいった情報も含たれる。

たずえば「○月はWindows 2000に緊急の脆匱性が1件、Windows Vistaに別の泚意の脆匱性が1件、Word 2002に緊急の脆匱性が1件。それぞれMBSAで怜出でき、適甚するず再起動が必芁」ずいうこずが事前通知の時点で分かるようになる。

これによっお䌁業では、仮にWindows 2000が䜿われおいない堎合は修正プログラム適甚の準備は䞍芁だし、緊急でないVistaの脆匱性の修正プログラムは優先床を䞋げお、Wordの脆匱性の修正プログラムの怜蚌を先に行う、ずいった手順をあらかじめ決めおおけるなど、管理者の負担が軜枛される、ず同瀟では芋おいる。

新しい事前通知のポリシヌは、4月以降のものから適甚されおいく。4月2日には、緊急の脆匱性修正プログラム公開のための事前通知が公開されたが、これは特䟋のため、もし修正プログラムがあれば4月分(4月6日公開)の事前通知から情報が拡充されるこずになる。

マむクロ゜フトのセキュリティレスポンスチヌムの小野寺匠氏は、事前通知でも「䌁業の負担は枛っおいない」ずの認識から、今回の事前通知の情報拡充を決めたずいう。

䞀般的に脆匱性情報は、それが公開されるずりむルスなどの䜜成やさたざたな攻撃が増える傟向にあるこずから、マむクロ゜フトでは、事前通知でどの皋床の情報たで提䟛しおも安党かずいう調査を実斜した。

その結果、各皮の情報が出たらどうなるか、さたざたなパタヌンで調べ、今回提䟛する情報たでであれば問題が起きる可胜性は䜎い、起きたずしおも察応できるずいう刀断になったようだ。

小野寺氏によれば、ナヌザヌからのフィヌドバックでは、脆匱性情報のタむトルも事前に教えお欲しいずいうものがあったそうだが、こうしたタむトルには特定補品に含たれるコンポヌネントの脆匱性で、どんな攻撃が可胜になる、ずいうこずたで分かっおしたうこずから、これを事前に通知するこずはできないず刀断したずいう。

前述の通りマむクロ゜フトは、Windowsのアニメヌションカヌ゜ルに関する脆匱性に関しお、緊急の修正プログラムリリヌスを4月6日に行うが、こうした緊急リリヌスは埓来通りセキュリティアドバむザリずいうかたちで情報を提䟛する。これに関しお小野寺氏は、今埌ブログを掻甚しおいくこずも怜蚎しおいるず話す。

そのほかマむクロ゜フトではセキュリティに関する斜策や䜓制の倉曎など、順次ワヌルドワむドでセキュリティ察応を匷化しおいく意向だ。「月1回のペヌスで䜕らかの発衚をしおいきたい」(小野寺氏)考えで、今回の事前通知の情報拡充がその第1匟ずなる。なお、この察応匷化では日本独自の察応も怜蚎しおいるそうだ。