小野寺です。

最近、公私共にバタバタしている小野寺です。

今月は、既にお伝えしている通り、新しいセキュリティ情報の公開はありません。
とはいえ、Microsoft Update等で、重要な更新が幾つか提供されているため、セキュリティ更新と誤解されて方もいたようですが、本日提供されている更新は、セキュリティ以外の通常の更新になります。

さて、これだけでは寂しい？ので、セキュリティ情報の深刻度について余談を・・・
マイクロソフトのセキュリティ情報は、「緊急 (Critical)」「重要 (Important)」「警告 (Moderate)」「注意 (Low)」４つの深刻度に分類して公開しています。この辺りの詳しい説明は、ここに書かれているので省きます。

しかし、この深刻度は、各社各様で単純比較するのが難しいのです。これを、共通化して定量的に判断しようとする試み - Common Vulnerability Scoring System (CVSS) があります。この CVSS は、National Infrastructure Advisory Council (NIAC) によってはじめられた業界全体の標準化活動です。 この評価基準は、Forum of Incident Response and Security Teams (FIRST)と呼ばれるセキュリティ対応を行なっている企業・団体が参加する協議会の様な所で管理されています。 マイクロソフトも、CVSS の策定と改良に FIRST と共に動いています。ちなみに、マイクロソフトも FIRSTのメンバーであり、他の日本の企業やISPも FIRST に参加して日々活動をしています。

そろそろ、お気づきの方もいるかもしれませんが、マイクロソフトでは、策定に参加していますが、CVSS を使用していません。これは、CVSS が決まり始める前に、すでに独自の評価システムを持っていたというのが一つの理由です。 すでに、現在の評価システムで運用しているお客様にとっては、CVSS に急に変更されても困りますよね？
現在は、CVSS は定量化という点で重要な動きですが、明確化や簡素化の点で改善の余地がありますので、この辺りが解決を目指しつつ定期的に導入する事も検討していく予定です。

最後に、来月は、4/11 日がセキュリティ情報の公開予定日で、その事前告知は 4/6 に行なう予定です。まだ、セキュリティ情報の警告サービスを利用していない人は、登録する事をお勧めします (無料です)