小野寺です。
先ほど、IT Secruity Award 2008の受賞者発表のサイトを公開しました。
http://www.microsoft.com/japan/technet/security/award/default.mspx
代表の4名はすでに発表していましたが、他の受賞者の方々のお名前を掲載しました。
全問正当した方は、おめでとうございます。ぜひ、ご自身の名前を探してみてください。 ちなみに、3部門すべてで全問正当しているかたは、特別賞として別途掲載しています。
全問正当は・・・という方は、問題と解答を公開していますので、再度チャレンジしてみてください。
また、COOの樋口から、今回のAwardに参加いただいき、ITにかかわる方々に向けたメッセージも合わせて公開しています。
小野寺です。
2006年の11月末に Windows Vista を出荷してから一年以上が経過しました。出荷から一年間のWindows Vista, XPの脆弱性についてのレポートを公開しました。Windowsだけではなく、Red Hat Linux, Ubuntu および Mac OSについても合わせて分析しています。
この分析の結果、Windows Vistaが Security Development Lifecycle (SDL) の効果により、脆弱性数が確認することができます。もちろん、脆弱性の数 = 製品の安全性ではなく、最終的な安全性は色々な要素で決まります。とはいえ、脆弱性は少ないに越したことないわけで、指標の一つとして面白いレポートになっていると思います。
レポートは以下からダウンロード可能です。
http://download.microsoft.com/download/c/d/c/cdcc38a5-50fa-4425-be75-9d165065d0c8/vista-one-year-vuln-report-ja.xps (XPS)
http://download.microsoft.com/download/c/d/c/cdcc38a5-50fa-4425-be75-9d165065d0c8/vista-one-year-vuln-report-ja.pdf (PDF)
英語版のレポートは、2008/1/23 からレポートの著者である、Jeff Jones Security Blogで公開しています。
http://blogs.technet.com/security/archive/2008/01/23/download-windows-vista-one-year-vulnerability-report.aspx
小野寺です
今月は、事前通知で 12 件 (緊急7件、重要5件) とお伝えしましたが、1 件をキャンセルし、計 11 件 (緊急6件、重要5件)の公開となります。 テストプロセスの中で、品質にかかわる問題が見つかったためです。
今月は、セキュリティ情報公開時点での、悪用は確認されていませんが、MS08-010 (Internet Explorer)の 「ActiveX オブジェクトのメモリの破損の脆弱性- CVE-2007-4790」は、今回の対応前に情報が公開されており、Microsoft Visual FoxPro FPOLE.OCX ActiveX control buffer overflow と呼ばれていました。
今回は、数が多い以外は、現在のところ大きな特記事項はありませんが、強いてあげると MS08-008 (OLE) は、再配布モジュール (oleaut32.dll)を修正していますので、このモジュールを含むアプリケーションの利用者は、開発(販売)元に問い合わせる必要があります。また、開発者は、各人のアプリケーションに、新しい oleaut32.dll を入れて新たにパッケージするか、共有コンポーネントを使うように構成を変更する必要があります。
今月のセキュリティ情報のストリーミング配信を午後を予定しています。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx
小野寺です
今月は、計 12 件 (緊急 7 件、重要 5 件) の公開を予定しています。
リリース日は、週明け水曜日 (02/13) です。加えて、セキュリティ以外の更新プログラムが Microsoft Update 経由で 7 件 と Internet Explorer 7 の自動更新による配信も同時に行います。例月よりも多くの更新プログラムを配信しますので環境によっては、段階的な配信等を検討する必要があるかもしれません。
http://www.microsoft.com/japan/technet/security/bulletin/ms08-feb.mspx
|
影響を受ける製品 |
最大深刻度 |
影響 |
検出方法 |
再起動 | |
|
セキュリティ情報 1 |
Windows, Active Directory, ADAM |
重要 |
サービス拒否 |
MBSA |
必要 |
|
セキュリティ情報 2 |
Windows |
重要 |
サービス拒否 |
MBSA |
必要 |
|
セキュリティ情報 3 |
Windows, IIS |
重要 |
特権の昇格 |
MBSA |
必要 |
|
セキュリティ情報 4 |
Windows, IIS |
重要 |
リモートでコードが実行される |
MBSA |
不要 |
|
セキュリティ情報 5 |
Windows |
緊急 |
リモートでコードが実行される |
MBSA |
必要 |
|
セキュリティ情報 6 |
Windows, Office, Visual Basic |
緊急 |
リモートでコードが実行される |
MBSA |
必要 |
|
セキュリティ情報 7 |
Windows, VBScript, JScript |
緊急 |
リモートでコードが実行される |
MBSA |
必要 |
|
セキュリティ情報 8 |
Windows, Internet Explorer |
緊急 |
リモートでコードが実行される |
MBSA |
必要 |
|
セキュリティ情報 9 |
Office, Works, Works Suite |
重要 |
リモートでコードが実行される |
MBSA |
不要 |
|
セキュリティ情報 10 |
Office |
緊急 |
リモートでコードが実行される |
MBSA |
不要 |
|
セキュリティ情報 11 |
Office |
緊急 |
リモートでコードが実行される |
MBSA |
不要 |
|
セキュリティ情報 12 |
Office |
緊急 |
リモートでコードが実行される |
MBSA |
不要 |
更新履歴: 2008/02/08 セキュリティ情報の総件数に誤りがありましたので修正しました。
小野寺です。
Windows Server 2008 日本語版が、ついて完成し製造工程向けの出荷を開始しました。MSDNやTechNetサブスクリプション会員の方は、すでにダウンロード可能です。
Windows Server 2008 は、Windows Vista 同様に Security Development Lifecycle (SDL) に基づいて開発された製品であり、セキュリティに特化した設計時の脅威分析とそれに基づいた防護策が色々と施されています。発見された1つの脅威に対して、複数の防護策をとる多層防御の考え方が、製品その物に息づいてていると思っています。
Windows Vista の場合で、出荷後 1 年間の脆弱性数を Windows XP と比較するだけでも 1/3 に減少しています。Windows Server 2008 でも、同様以上の結果ができるものと期待したいですね。(この辺の詳しいレポートは、近日このブログで公開しようと思います)
また、今まで個々の PC やサーバーのセキュリティをそれぞれに維持することで、ネットワーク全体のセキュリティレベルを維持してきました。Windows Server 2008 の出荷により、ネットワーク アクセス保護機能 (いわゆる NAP)が使えるようになりますので、ネットワークが自律的にセキュリティを維持することができるようになります。セキュリティは、理想的には、セキュリティ対策のための対策ではなく、適切な全体運用統制の結果としてセキュリティも維持管理されるわけですが、その理想に少し容易に近づけるようになったのかもしれません。
これからが、楽しみです。
製品情報サイト
URL: http://www.microsoft.com/japan/windowsserver2008/
開発者向け情報提供サイト:
MSDN Windows デベロッパー センター Windows Server 2008
URL:http://www.microsoft.com/japan/msdn/windows/windowsserverlonghorn/
ITエンジニア向け情報サイト: TechNet Windows Server テックセンター
URL: http://www.microsoft.com/japan/technet/windowsserver/default.mspx