マイクロソフトは、通常、毎月第2水曜日(米国時間の同火曜日)に提供している月例のセキュリティ修正プログラムに関して、その3営業日前(普段は前週の金曜日)に「マイクロソフト セキュリティ情報の事前通知」として、修正プログラムの事前情報を提供している。この事前通知について、今後提供する情報を拡充し、セキュリティ管理者らの負担軽減を図っていく。

現状の事前通知のページ。ここに掲載される情報を拡充する

現状の事前通知は文字が主体で情報が少なく、管理者は準備ができない

これまでマイクロソフトは、セキュリティ管理者ら企業で修正プログラムの適用を管理している部門の負担を抑えるよう、セキュリティ修正プログラムを毎月決まった曜日に提供していた。同社製品の脆弱性情報が公開され、それに関する修正プログラムがリリースされると、企業の管理者はそれを適用すべきか否か、そして適用しても問題はないのかどうかなどをチェックする必要があり、それが不定期にいきなりリリースされると現場が混乱するとの声を受けての配慮だった。

しかし、それだけでは修正プログラムがリリースされてからでないと管理者は対応できない。こうした不満に対してマイクロソフトは、2004年11月から事前通知というかたちで、その月にどういったセキュリティ修正プログラムをリリースするか、事前に情報を提供することにしていた。

ところが、提供されていた事前通知の情報は、Windows OS、Microsoft Office製品、Windows Server製品といった製品ファミリー(に含まれるいずれかの製品)に、それぞれいくつの脆弱性があり、公開される脆弱性における最大深刻度はどの程度、といった大まかな情報しか提供されてこなかった。

このため、たとえばWindows XPなのかWindows 2000なのか、Office製品であればWordなのかExcelなのか、どのバージョンなのか、さらに深刻度が緊急の脆弱性は何個あるのか、どの脆弱性が深刻なのかといったことは分からないままだった。

変更後の事前通知のページのイメージ。各脆弱性情報のタイトル(仮の識別子)や個別の深刻度などが提供されるようになる

変更点

結局、企業の管理者は「今月は大量に修正プログラムが出る」といった心の準備はできても、実際にそれに対して何らかの準備をすることはほとんどできず、そうした不満がフィードバックとしてマイクロソフト側にも寄せられてきていたそうだ。

実際のページはこんな感じになる。ただし、これは仮ページで、今後は変更される可能性もある

実はこのページは、セキュリティ修正プログラムのサマリーページとほとんど同じ構成。情報拡充後は、このページに事前通知の識別子も併記されることになるので、事前通知と実際の情報の対応付けが分かりやすくなる

マイクロソフトでは、ワールドワイドでこれらに対応することを決め、事前通知の内容を拡充することにした。具体的には、脆弱性ごとに区別して情報を提供、それぞれの脆弱性に対して最大深刻度を表記。さらにWindows 2000 / XP、Word 2002、Excel 2003などといった製品とバージョンも明記し、それぞれの深刻度についても情報提供するようにした。

また、この修正プログラムを適用すべきかどうかを判断するツールである「Microsoft Baseline Security Analyzer(MBSA)」で検出できるか、プログラムを適用すると再起動が必要か、といった情報も含まれる。

たとえば「○月はWindows 2000に緊急の脆弱性が1件、Windows Vistaに別の注意の脆弱性が1件、Word 2002に緊急の脆弱性が1件。それぞれMBSAで検出でき、適用すると再起動が必要」ということが事前通知の時点で分かるようになる。

これによって企業では、仮にWindows 2000が使われていない場合は修正プログラム適用の準備は不要だし、緊急でないVistaの脆弱性の修正プログラムは優先度を下げて、Wordの脆弱性の修正プログラムの検証を先に行う、といった手順をあらかじめ決めておけるなど、管理者の負担が軽減される、と同社では見ている。

新しい事前通知のポリシーは、4月以降のものから適用されていく。4月2日には、緊急の脆弱性修正プログラム公開のための事前通知が公開されたが、これは特例のため、もし修正プログラムがあれば4月分(4月6日公開)の事前通知から情報が拡充されることになる。

マイクロソフトのセキュリティレスポンスチームの小野寺匠氏は、事前通知でも「企業の負担は減っていない」との認識から、今回の事前通知の情報拡充を決めたという。

一般的に脆弱性情報は、それが公開されるとウイルスなどの作成やさまざまな攻撃が増える傾向にあることから、マイクロソフトでは、事前通知でどの程度の情報まで提供しても安全かという調査を実施した。

その結果、各種の情報が出たらどうなるか、さまざまなパターンで調べ、今回提供する情報までであれば問題が起きる可能性は低い、起きたとしても対応できるという判断になったようだ。

小野寺氏によれば、ユーザーからのフィードバックでは、脆弱性情報のタイトルも事前に教えて欲しいというものがあったそうだが、こうしたタイトルには特定製品に含まれるコンポーネントの脆弱性で、どんな攻撃が可能になる、ということまで分かってしまうことから、これを事前に通知することはできないと判断したという。

前述の通りマイクロソフトは、Windowsのアニメーションカーソルに関する脆弱性に関して、緊急の修正プログラムリリースを4月6日に行うが、こうした緊急リリースは従来通りセキュリティアドバイザリというかたちで情報を提供する。これに関して小野寺氏は、今後ブログを活用していくことも検討していると話す。

そのほかマイクロソフトではセキュリティに関する施策や体制の変更など、順次ワールドワイドでセキュリティ対応を強化していく意向だ。「月1回のペースで何らかの発表をしていきたい」(小野寺氏)考えで、今回の事前通知の情報拡充がその第1弾となる。なお、この対応強化では日本独自の対応も検討しているそうだ。