日本のセキュリティチーム
マイクロソフトの最新のセキュリティ情報は、次のリソースで入手することができます。
本記事は、Microsoft Security Blog のブログ “The Impact of Security Science in Protecting Customers” (2013 年 7 月 25 日公開) を翻訳した記事です。
Trustworthy Computing 部門は本日、ソフトウェアの脆弱性に対処するためにマイクロソフトが導入してきたリスク緩和策の長期的な効果を分析した新たな調査結果を発表しました。この分析は、過去 7 年 (2006 ~ 2012 年) の間にマイクロソフトがセキュリティ更新プログラムを提供した脆弱性のうち、実際に悪用が発見されたものの調査に基づいています。調査では、悪用された脆弱性の種類、標的にされた製品バージョン、攻撃者が利用した手法の傾向を評価することに重点を置きました。
本日発表した新しい調査資料「ソフトウェアの脆弱性悪用の傾向」には、以下のような主要な調査結果が記載されています。
図 1: セキュリティ更新プログラム提供の前後での悪用された CVE 件数の比較
図 2: 悪用が発見された CVE の脆弱性クラスの分布
図 3: 特定の手法を使用して悪用された CVE の件数
新たな調査結果には、上記の他にも、脆弱性の悪用を困難にする要素を知る上で役立つデータ ポイントが多数あります。それらの要素を活用して、どのように悪用の可能性を減らし、リスクを管理するかについて、調査結果に基づく推奨事項を提供しています。
組織のリスク管理を担当する皆様にぜひお読みいただきたい内容です。こちらからダウンロードできます: http://download.microsoft.com/download/2/D/F/2DF4D24C-D22D-48FD-A64E-4F3DC3D8D384/Software Vulnerability Exploitations Trends - Japanese.pdf
マイクロソフトがこのような研究調査を行うのには理由があります。私がお話ししてきたお客様の多くが、使用するソフトウェアの供給元である業界やベンダーが深刻な脆弱性の少ないソフトウェアの開発に成功しているかどうかを判断する基準として、ソフトウェアの脆弱性の数を使用することに着目しています。また実際、マイクロソフトのセキュリティ インテリジェンス レポートでは、さまざまな脆弱性の数を公開しています。しかし、単純に数を集計したのでは、すべての脆弱性が等しいリスクをもたらすかのような印象を与えてしまいます。実際に攻撃者に利用された脆弱性とその悪用の方法を詳しく調べることによって、状況をより正確に把握することができ、その結果、脆弱性に付随するリスクを効果的に管理する方法を探ることができます。
この調査は、マイクロソフト セキュリティ エンジニアリング センター (MSEC) と、マイクロソフト セキュリティ レスポンス センター (MSRC) によって実施されました。MSEC は、業界で最も先進的なセキュリティ サイエンス研究を行っています。このセキュリティ サイエンスは、次の 3 つの点でお客様のお役に立ちます。
MSEC とセキュリティ サイエンスについて詳しくお知りになりたい場合は、http://www.microsoft.com/msec をご覧ください。
Trustworthy Computing (信頼できるコンピューティング) 部門ディレクターTim Rains (ティム・レインズ)