マイクロソフト社公表の脆弱性情報登録遅延の可能性について
お客様各位
2017年8月7日
マイクロソフト社公表の脆弱性情報登録遅延の可能性について
日頃は、SIDfm をご利用いただき誠にありがとうございます。
さて、表記の件につきまして、下記の通りご案内致します。何卒、ご理解ご了承くださいますようお願い申し上げます。
記
マイクロソフト社は 2017年 4月より、脆弱性情報の提供方法をこれまでの「MSXX-XXX 番号単位」の「セキュリティ情報」(*1)を廃止し、製品とKnowledge Base(KB)の組合せによる単位」の「セキュリティ更新プログラム ガイド」(*2)に変更致しました。
このマイクロソフト社の変更により、脆弱性情報粒度が変更されたため、確認対象の脆弱性情報が、例えば 6月の件数は、約1700件と大幅に増加しています。加えて、マイクロソフト社が公開している脆弱性情報については、確認対象の脆弱性情報のリンク先の欠如や、脆弱性情報自体の削除も発生しており、脆弱性情報に不確定な状態も発生しております。
このような状態において、SIDfm は、これまで同様に、システムメンテナンスを行いやすいコンテンツの単位である「脆弱性と影響を受けるアプリケーションの組合せ」にて、脆弱性情報をまとめ、脆弱性コンテンツをご提供しております。
しかしながら、マイクロソフト社の「セキュリティ更新プログラム ガイド」での6月の件数が、約 1700件となり、またマイクロソフト社の脆弱性情報に不確定な状態も発生しておりますため、SIDfmでの脆弱性と影響を受けるアプリケーションの組合せの確認、並びに脆弱性コンテンツの作成に相当な時間を要しております。
これに対してSIDfmは、脆弱性コンテンツ作成作業の一部自動化などを行い効率化を図っておりますが、しかしながらコンサルタントが行う脆弱性内容の解析作業は依然として品質維持のために必要な時間となります。
このため、現在は当日中の脆弱性コンテンツ登録を完了しておりますが、今後、マイクロソフト社の1ヶ月当たりの脆弱性公表件数が、これ以上増加した場合や、マイクロソフト社の不確定な脆弱性情報により、SIDfm の脆弱性コンテンツ登録が当日中に完了しない可能性がございます。
その場合、SIDfm のコンテンツの登録は、危険度の高い脆弱性から優先的に登録を行いますので、翌日に登録される可能性のあるコンテンツは、危険度の低い脆弱性となります。
なお、本件はマイクロソフト社公表の脆弱性情報とその影響を受けた脆弱性情報にのみ影響し、他の脆弱性情報につきましては影響ございません。
何卒、事情をご理解いただき、ご了承くださいますようお願い申し上げます。
(*1) セキュリティ情報 https://technet.microsoft.com/ja-jp/security/bulletins
(*2) セキュリティ更新プログラム ガイド https://portal.msrc.microsoft.com/ja-jp/security-guidance
以上