悪用可能性指標をチェック
毎月のセキュリティ情報のページで次にあるのは、「Exploitability Index (悪用可能性指標)」だ。
これは、個々のセキュリティ情報がどの程度の危険度を持っているのかを示すもので、1つのセキュリティ情報に対して複数の脆弱性が含まれている場合が多く、脆弱性ごとに分類された表になっている。
というのは、個々の脆弱性に関しては、CVEの識別番号(CVE-ID)が割り当てられ、これを使うことで、マイクロソフト外でセキュリティ問題を議論する場合に、既知の問題として参照することができるようになっているからだ。CVEとは「Common Vulnerabilities and Exposures」の略で国内ではCVE-IDは「共通脆弱性識別子」と呼ばれることがある。
このCVE-IDは、米国の「CVE Editorial Board」という機関(システムの運営は米国の非営利組織MITRE社)が登録認定を行なう脆弱性情報を識別する番号だ。さまざまな企業、組織などから申告のあった脆弱性情報を評価し、識別番号の割り当てを行っている。
脆弱性を特定して識別番号を割り当てて管理することで、たとえば、複数の企業から公開された個別の製品のセキュリティ対策が同一のものであるかどうかなどを判断することや、脆弱性同士の関連付けが可能になるほか、脆弱性に関する文書で対象を明確に参照することが可能になる。開発、販売元ではない、第三者組織が情報を管理することで、たとえば開発組織が消滅して、ウェブサイトがなくなったとしても、脆弱性の情報が残る。
バイナリのプログラムやソースコードが公開されているソフトウェアは、開発元組織が消滅しても、利用可能であることが多く、脆弱性の情報が消滅したまま利用されてしまう可能性もある。米国では、政府主導でセキュリティに関連する情報の処理の自動化や標準化を行なうSCAP(Security Content Automation Protocol)が開発されており、CVE-IDは、その中で、脆弱性を識別する要素となっている(CVEのサイト)。
最近では、WindowsやOfficeなどは、ハードウェアへのプリインストールとして入手することも多く、PCの台数が増えると、小さな組織でも複数のバージョンが混在する環境になりやすい。このため、セキュリティ管理は、多数の製品、バージョンを相手にする必要があり、面倒なことになりやすい。最低限、Windowsアップデートを止めないようにする程度のことはやっていても、その影響がどうなるのかに関しては、元のセキュリティ情報にあたるしかない。
会社などで複数のマシンの管理を行っているような場合、前述のセキュリティ情報のメールサービスなどに登録して、ときどきは、目を配るようにしたほうがいいかもしれない。
この連載の記事
-
第429回
PC
Windows Updateの「利用可能になったらすぐに最新の更新プログラムを入手する」はオンにした方がいいか? -
第428回
PC
Google/Bingで使える検索オプション -
第427回
PC
WindowsのPowerShellのプロファイルを設定する -
第426回
PC
WindowsでAndroidスマホをWebカメラにする機能を試した -
第425回
PC
無料で使えるExcelにWord、Microsoft 365のウェブ版を調べた -
第424回
PC
Windowsの基本機能であるクリップボードについてあらためて整理 -
第423回
PC
PowerShellの今を見る 2つあるPowerShellはどっち使えばいい? -
第422回
PC
Windows 11の目玉機能が早くも終了、Windows Subsystem for Android(WSA)を振り返る -
第421回
PC
進化しているPowerToys LANで接続したマシンでキーボード/マウス共有機能などが追加 -
第420回
PC
Windowsプレビュー版に搭載されたsudoを試す -
第419回
PC
Windows Insider Previewが変わって、今秋登場のWindows 11 Ver.24H2の新機能が見えてきた? - この連載の一覧へ