前回はマイクロソフトのサポート情報(KB文書)について解説したが、今回は、セキュリティ関連の情報について解説しよう。
マイクロソフトのセキュリティ情報は
まとめから見ることができる
マイクロソフトのセキュリティ関係の情報は、「マイクロソフトセキュリティ情報(Microsoft Security Bulletin)」にある(https://technet.microsoft.com/ja-jp/security/bulletin/dn602597.aspx)。
セキュリティTechCenterは、マイクロソフトのセキュリティ関連の情報をまとめて提供しているサイト。「マイクロソフトセキュリティ情報」は英語では「Microsoft Security Bulletin」と呼ばれている
この「セキュリティTechCenter」は、マイクロソフト製品全般のセキュリティ情報を扱うページだ。このページが含まれる「TechNetオンライン」は、企業のシステム管理者などに向けたマイクロソフト技術情報を提供するところだ。
セキュリティTechCenterは、日本語化されており、サイト設定で「日本(日本語)」を選択していれば、日本語で情報が表示されるようになる。ただし、サイトの構造は、米国(英語)と日本(日本語)では違っている。たとえば、日本(日本語)では、「セキュリティ更新プログラム(Security Updates)」のサブページに「MYBULLETINS」がない。
日本語と英語では、同じセキュリティTechセンターでも違いがある。翻訳などの関係で記載に違いが出るほか、日本語にはセキュリティ更新プログラム(Security Updates)にMYBULLETINSがない
これは、事前通告の一般公開が廃止になった際に作られた、カスタマイズされたセキュリティ情報ページで、利用しているソフトウェアを登録しておくと、それに関連する情報のみを表示できるといった機能を持つ。もっとも、この機能、Windows 10やOffice 2016などがリストされておらず、今後どうなるのかが不明な状態だ。
セキュリティ関連の情報として公開されているものはいろいとあるが更新されていく情報としては
・毎月のセキュリティ情報
・セキュリティアドバイザリ
の2つがある。
「毎月のセキュリティ情報」は、見つかった脆弱性とその対策などのセキュリティ情報を項目別に紹介するもの。単に脆弱性のみが公開されるのではなく、対応策となるアップデートと同時に公開される。また、アップデートに関しては、概要を示すKB文書が作られるのが通常である。
「セキュリティアドバイザリ」とは、補足的な情報であり、「毎月のセキュリティ情報」にするほどの必要性はないが、なんらかの形でセキュリティに影響することが考えられることなどをまとめた文書だ。
原則、セキュリティアドバイザリには、アップデートが伴わないが、状況によっては、同じ内容が「セキュリティ情報」に上がり、アップデートが提供されるようになることもある。また、後日、内容が更新される場合もある。このセキュリティアドバイザリは、定期的に公開されるものではなく、必要に応じて作成、公開が行なわれる。また、セキュリティアドバイザリには、KB番号が割り当てられ、マイクロソフトサポート情報としても参照が可能だ。
毎月のセキュリティ情報やセキュリティアドバイザリに関しては、誰でも登録することでメールによる通知を受け取ることができるほか、ニュースフィードリーダーなどで利用可能なRSS経由で公開、更新の情報を受け取ることもできる。
毎月のセキュリティ情報は第2火曜に公開される
発見され対策としてのアップデートが作成された脆弱性などのセキュリティ問題に関して作成されるのが「セキュリティ情報」で、原則的に毎月第2火曜日(米国時間。日本では水曜日になる)にまとめて公開される。
ただし、緊急性が非常に高いものに関しては、これ以外のタイミングで公開が行なわれることがある。以前は、公開前週の木曜日に事前通告としてアップデートがない状態での脆弱性情報のみを公開していたが、現在では、マイクロソフトと契約した組織のみ事前通告を受け取ることができる。また、すでに2016年内の公開スケジュールは決定して公開されている。
2016年のセキュリティ情報公開の予定はすでに決定していて公開されている
公開された脆弱性には「MS」から始まる番号が付けられる。後半の数字は、西暦の下2桁と年間の通し番号になっている。たとえば「MS16-009」は、2016年に公開された9番目のセキュリティ情報というわけだ。
セキュリティ情報は、月別にまとめられており、毎月ページが作成される。
セキュリティ情報は公開される月別にまとめられている
ここには、概要や脆弱性の深刻度などを示す情報が表として掲載されている。後半には、Windowsのバージョン別、オフィスなどのソフトウェア別にセキュリティ情報を分類した表がある。また、ページの最後には「更新履歴」があり、ページが公開されたあとの修正の履歴がある。ここを見ることで、前回閲覧して以降に更新があったかどうかを判断できる。
このページは、その月に公開されたセキュリティ情報をまとめた「概要」と各セキュリティ情報の「深刻度」を示す「Exploitability Index (悪用可能性指標)」の表がある。
毎月のセキュリティ情報には「概要」として公開された情報が表形式でまとめられている
さらにセキュリティ情報に関する脆弱性ごとに悪用の可能性を示す情報の表もある
「概要」は、MS番号別に脆弱性などの情報をまとめたもので、以下のような項目からなる。
・セキュリティ情報ID
・セキュリティ情報タイトルおよび概要
・最大深刻度と脆弱性の影響
・再起動の必要性
・既知の問題
・影響を受けるソフトウェア
「セキュリティ情報ID」は、前述のMSから始まる番号だ。「最大深刻度と脆弱性の影響」は、このセキュリティ問題の危険な度合いを4段階で表現したものだ。
| 評価 | 定義 | 更新プログラム |
|---|---|---|
|
緊急 (Critical) |
ユーザーの操作なしでコード実行の悪用が行われる可能性のある脆弱性。 | 早急に適用すべき |
|
重要 (Important) |
ユーザーデータの機密性、完全性または可用性が侵害される可能性。処理中のリソースの完全性または可用性が侵害される可能性がある。 | できる限り早く適用すべき |
|
警告 (Moderate) |
脆弱性の影響は、認証要件、または、非デフォルト設定に対してのみ適用性があるなどの要素によって、大幅に緩和される。 | 適用を検討すべき |
|
注意 (Low) |
脆弱性の影響は、影響を受けるコンポーネントの特性によって、包括的に緩和される。 | 適用の可否を判断 |
「再起動の可能性」は、脆弱性の対策として公開されているアップデートを適用した場合にWindowsの再起動が必要になるかどうかだ。サーバーなどの場合、サービスを継続させるため、簡単に再起動できないことが多く、そのためにアップデートを闇雲にインストールすることができない。再起動が必要なければ、すぐにでもアップデートを適用可能で、再起動が必要ならば、定期的なメンテナンスなどに合わせてインストールを行うといった判断ができる。
「既知の問題」は、この脆弱性のアップデートの情報となるKB文書を示す。リンクになっているため、クリックして該当のページを開くことが可能だ。
この連載の記事
-
第428回
PC
Google/Bingで使える検索オプション -
第427回
PC
WindowsのPowerShellのプロファイルを設定する -
第426回
PC
WindowsでAndroidスマホをWebカメラにする機能を試した -
第425回
PC
無料で使えるExcelにWord、Microsoft 365のウェブ版を調べた -
第424回
PC
Windowsの基本機能であるクリップボードについてあらためて整理 -
第423回
PC
PowerShellの今を見る 2つあるPowerShellはどっち使えばいい? -
第422回
PC
Windows 11の目玉機能が早くも終了、Windows Subsystem for Android(WSA)を振り返る -
第421回
PC
進化しているPowerToys LANで接続したマシンでキーボード/マウス共有機能などが追加 -
第420回
PC
Windowsプレビュー版に搭載されたsudoを試す -
第419回
PC
Windows Insider Previewが変わって、今秋登場のWindows 11 Ver.24H2の新機能が見えてきた? -
第418回
PC
Windows 11のスマートフォン連携は新機能が追加されるなど、いまだ進化している - この連載の一覧へ
