日本MS、脆弱性の悪用可能性指標を細分化

日本マイクロソフトは、セキュリティ更新プログラムを公開する際、深刻度とは別に「悪用可能性指標」を公表しているが、5月より内容を変更した。

同指標は、セキュリティ管理者などが優先順位を把握しやすいよう脆弱性を攻撃するプログラムの発生する可能性について示したもの。「安定した悪用コードの可能性」「不安定な悪用コードの可能性」「機能する見込みのない悪用コード」の3段階で脆弱性を評価している。

同社セキュリティレスポンスチームセキュリティスペシャリストの松田英也氏によれば、今回の指標変更はユーザーからの要望に応えたものだという。

最新プラットフォームでは、それ以外にくらべて安定した悪用コードが登場する可能性が低く、プラットフォームで指標が異なるケースがあることから、同社では今後最新プラットフォームとそれ以外をわけて表示する方針に変更した。

また「サービス拒否」の評価を追加し、攻撃中止後に自然復旧するサービス拒否を「一時的」と評価するほか、システムクラッシュするタイプを「永続的」と表示し、より影響がわかりやすいよう工夫している。

（Security NEXT - 2011/05/11 ）ツイート