悪用可能性指標をチェック
毎月のセキュリティ情報のページで次にあるのは、「Exploitability Index (悪用可能性指標)」だ。
「Exploitability Index (悪用可能性指標)」は、個々のセキュリティ情報(MS番号ごと)に含まれる脆弱性ごとに悪用される可能性などを示したもの。脆弱性はCVE-IDで管理されている
これは、個々のセキュリティ情報がどの程度の危険度を持っているのかを示すもので、1つのセキュリティ情報に対して複数の脆弱性が含まれている場合が多く、脆弱性ごとに分類された表になっている。
というのは、個々の脆弱性に関しては、CVEの識別番号(CVE-ID)が割り当てられ、これを使うことで、マイクロソフト外でセキュリティ問題を議論する場合に、既知の問題として参照することができるようになっているからだ。CVEとは「Common Vulnerabilities and Exposures」の略で国内ではCVE-IDは「共通脆弱性識別子」と呼ばれることがある。
このCVE-IDは、米国の「CVE Editorial Board」という機関(システムの運営は米国の非営利組織MITRE社)が登録認定を行なう脆弱性情報を識別する番号だ。さまざまな企業、組織などから申告のあった脆弱性情報を評価し、識別番号の割り当てを行っている。
CVEは、米国の脆弱性情報の登録管理番号。CVE-IDにより、個別製品の脆弱性ごとに参照や管理が可能になる
脆弱性を特定して識別番号を割り当てて管理することで、たとえば、複数の企業から公開された個別の製品のセキュリティ対策が同一のものであるかどうかなどを判断することや、脆弱性同士の関連付けが可能になるほか、脆弱性に関する文書で対象を明確に参照することが可能になる。開発、販売元ではない、第三者組織が情報を管理することで、たとえば開発組織が消滅して、ウェブサイトがなくなったとしても、脆弱性の情報が残る。
バイナリのプログラムやソースコードが公開されているソフトウェアは、開発元組織が消滅しても、利用可能であることが多く、脆弱性の情報が消滅したまま利用されてしまう可能性もある。米国では、政府主導でセキュリティに関連する情報の処理の自動化や標準化を行なうSCAP(Security Content Automation Protocol)が開発されており、CVE-IDは、その中で、脆弱性を識別する要素となっている(CVEのサイト)。
最近では、WindowsやOfficeなどは、ハードウェアへのプリインストールとして入手することも多く、PCの台数が増えると、小さな組織でも複数のバージョンが混在する環境になりやすい。このため、セキュリティ管理は、多数の製品、バージョンを相手にする必要があり、面倒なことになりやすい。最低限、Windowsアップデートを止めないようにする程度のことはやっていても、その影響がどうなるのかに関しては、元のセキュリティ情報にあたるしかない。
会社などで複数のマシンの管理を行っているような場合、前述のセキュリティ情報のメールサービスなどに登録して、ときどきは、目を配るようにしたほうがいいかもしれない。
この連載の記事
-
第508回
PC
Scalable Vector Graphics(SVG)そもそも何なのか? -
第507回
PC
Windows 11の「開発者モード」とは何か? -
第506回
PC
Windows 11は早くも来秋登場の26H2プレビューの準備が始まる -
第505回
PC
結構変化しているWindows 11のエクスプローラーの基本設定を見直す -
第504回
PC
新しいOutlookとOutlook Classic、そろそろ古いOutlookとExchangeの組み合わせは引退の頃合いか -
第503回
PC
機能が増えたこともあり、寄せ集めから統合化に進むWindowsの便利ツール「PowerToys」 -
第502回
PC
Windows 11でBluetoothのオーディオ新規格「Bluetooth LE Audio」を試す -
第501回
PC
Windows 11 Ver.25H2での変更点、新機能を整理する -
第500回
PC
Windows 11 Ver.25H2が完成した -
第499回
PC
Windowsでの致命的だが回復可能なエラーに備える手段を2つ紹介 -
第498回
PC
Windows Terminalの安定版V1.23が公開 設定UIが改良される - この連載の一覧へ
