PR

 脆弱性情報公開ポリシーでは、脆弱性の発見者や関連するベンダー、各国のCSIRT(Computer Security Incident Response Team。シーサート)などが連絡を取り合い、情報の一般公開の前に対策を講じる機会を与えるとともに、一定期間後(米国のCSIRTであるCERT/CCでは45日以内としている)に情報を公開することとしている。

 これは、インシデント(事故につながりかねない状況)の段階で広く告知して注意を喚起するとともに、公開された情報が悪用されるリスクとの妥協点だ。情報公開は必要だが、対策なしの脆弱性情報の公開は、悪意のあるプログラムの開発、流布につながる恐れがある。そこで、報告から一定期間、評価と対応策の開発を行う時間を持つことになっている。

マイクロソフトのセキュリティ活動

 マイクロソフトは、自社製品のセキュリティやOSベンダーとしてWindowsのセキュリティに関わる活動を行っているが、その中心になるのが「Microsoft Security Response Center(MSRC)」だ。その活動には、以下が含まれる。

  • 情報の収集
  • 脆弱性の評価と対策
  • 情報の告知
  • セキュリティ関連文書の作成と管理
  • セキュリティ関連ソフトウェアの開発と提供
  • 業界連携

 このMSRCの活動の窓口となるのが、先に紹介したセキュリティ TechCenterだ。セキュリティTechCenterは、最新のセキュリティ情報を公開する「セキュリティ更新プログラム」や「ツール」の紹介ページ、過去のセキュリティ情報が集積された「ライブラリ」などのページからなるが、重要なのは、「セキュリティ更新プログラム」ページだ。

 ここにあるセキュリティコンテンツには、「セキュリティ情報(Security Bulletins)」「セキュリティ アドバイザリ(Security Advisories)」がある。