PR

 各MS項目が脆弱性対策の情報になっているため「~のセキュリティ更新プログラム」といったタイトルが並ぶ。各文書のタイトルは日本語になっているが、公開直後は一部の文書は英語のままになっていることがある。

 ブラウザーによっては、TechCenterの言語設定がうまく保存されないことがあり、該当の文書を開くと英語ページが表示されてしまうことがある。このような場合には、ページ右上のロケール設定(地域、言語の設定)を使い、「日本(日本語)」に切り替える。

業界で共通の識別番号、CVE-ID

 セキュリティ情報が対応するインシデント自体は、CVE-IDと呼ばれる業界共通の識別番号で管理される。業界内で共通の識別番号を使うことで、複数の組織の対応や活動が同一の脆弱性に関するものなのかどうを判断できる。CVEは「Common Vulnerabilities and Exposures」の略で、CVE-IDを国内では、「共通脆弱性識別子」と呼ぶこともある。

 この識別子は、米国のCVE Editorial Boardという機関が発行するもので、非営利組織のMITRE(http://www.cve.mitre.org/)がサイトを運営している。各社から申告のあった脆弱性を評価し、識別番号を割り当てていく。第三者がIDを管理することで、例えば、開発元が消滅してしまったり、そもそも組織ではない場合でも、脆弱性は記録される。

米国CVEにあるCVE-IDのページ。CVE-IDからアクセスが可能。脆弱性が区別され、同一のCVE-IDを参照しているなら、情報源が違っていても同一の脆弱性であると判断できる
米国CVEにあるCVE-IDのページ。CVE-IDからアクセスが可能。脆弱性が区別され、同一のCVE-IDを参照しているなら、情報源が違っていても同一の脆弱性であると判断できる
[画像のクリックで拡大表示]

 これは、米国のSCAP(Security Content Automation Protocol、https://scap.nist.gov/)というセキュリティに関する情報処理の自動化や標準化を行うための手続きの中で定義されているもので、ほかには、セキュリティ情報を管理する場合の製品を識別するためのCPE(Common Platform Enumeration)などがある。