PR

 米国では、省庁の情報セキュリティを強化する法律が施行され、それに伴い、脆弱性情報などを含むセキュリティ関連の作業が増大した。これを軽減するため、情報管理の自動化が求められ、そのために作られたのがSCAPだ(SCAPに関する日本語の解説)。ただし、SCAPは米国の仕組みであり、EU圏、イギリスなどでもそれぞれの取り組みがある。これは各国、地域で事情が違うためだ。日本もまた別の取り組みを持っている。

 なお、CVE-IDを管理しているNVD(National Vulerability Database)のページでは、マイクロソフト製品の脆弱性をセキュリティ情報IDで参照している。

修正プログラムの情報は「KB」でサポート文書で

 セキュリティ情報IDが付けられた脆弱性対策は、多くの場合、Windows Updateなどで配布される修正プログラムになる。このプログラム自体に関する詳細な情報は、マイクロソフトのサポート文書(俗に言うKB文書)として管理発行されている。

 KB文書は、"KB"から始まる数字で区別される文書であり、マイクロソフトのサポートサイト(https://support.microsoft.com/)から入手可能だ。また、セキュリティ情報のページには、対策プログラムに関する情報を記載したKB文書へのリンクがある。逆に、セキュリティ関連のWindows Updateに関するKB文書は、MSから始まるセキュリティ情報IDでインシデントを参照している。

 また、修正プログラム自体は、サポート文書番号と、対応プラットフォームで特定するできる。サポート文書番号が分かれば、マイクロソフトダウンロードセンター(https://www.microsoft.com/ja-jp/download)か、Windows Updateカタログサイト(http://catalog.update.microsoft.com/)で対応するプログラムを入手可能だ。これらの関係を表したものが下の図だ。

個々にID番号を持つ「セキュリティ情報」「サポート情報」「脆弱性(CVE-ID)」の関係。なお、セキュリティ対策プログラムは、サポート文書番号で検索が可能で、マイクロソフトのダウンロードセンターやWindows Updateカタログサイトから入手も可能だ
個々にID番号を持つ「セキュリティ情報」「サポート情報」「脆弱性(CVE-ID)」の関係。なお、セキュリティ対策プログラムは、サポート文書番号で検索が可能で、マイクロソフトのダウンロードセンターやWindows Updateカタログサイトから入手も可能だ
[画像のクリックで拡大表示]

 セキュリティ関連の情報は、量的も多く、特に興味を引かれない限り、漠然と見過ごすことがほとんどだろう。最低限、Windows Updateによる更新プログラムの自動インストールが行われていれば、大きな問題が発生することはあまりない。しかし、2001年の「CodeRedワーム」(MS01-033)の流行(Code Redワームに対する警告)では、IISを動作させていた多くのWindowsサーバーに感染し、インターネット全体で通信がしにくい状態が続いた(実際にはIIS付属のインデックスサーバーに脆弱性があった)。

 また、最近でもSQLインジェクションによるWebサーバーからの情報漏洩が続いたことがある。何かあったときに、すぐに参照できるように、マイクロソフトのセキュリティ関連のサイトをのぞくようにするとよいだろう。

■変更履歴
記事公開時、「セキュリティ情報」の日本での公開日を「第2水曜日」としていましたが、正しくは第2火曜日の翌日です。お詫びして訂正します。本文は修正済みです。 [2016/05/27 15:00]