Microsoft、セキュリティ情報の開示形態を見直し

Microsoft (NASDAQ:MSFT) は、セキュリティ情報の公開方法を、とくに一般的なエンドユーザーを考慮した形で変更する意向を明らかにした。

同社セキュリティ保証担当ディレクターの Steve Lipner 氏は、技術者向けに運営しているセキュリティ情報通知システムとあわせて、ある程度専門色を薄めた通知システムはすでに運営しているが、年内にもよりエンドユーザーを指向した通知システム『End User Security Notification Service』を構築すると述べた。

同氏によると、新しいセキュリティ情報通知システムは、エンドユーザー向け製品のセキュリティ問題を通知するサービスで、やはりエンドユーザー向けのセキュリティ情報を掲示するという。こうしたサービス構築の動機としては、エンドユーザーから既存のセキュリティ情報開示システムが、「あまりに専門性が高く解り辛い」との声があがったためとしている。

また同社は、深刻度を高いとする警告を多く出し過ぎたとの懸念から、11月付けで同社の深刻度評価システムを改定しており、より適切な緊急性の提示が可能となるようにした。

今年だけでも、Microsoft が公開した脆弱性警告64件のうち、ほぼ半分がもっとも高い深刻度となっていた。セキュリティ関係の専門筋は、それほど深刻でない問題に、緊急性が高いと受け止められかねない深刻度評価を与えるケースが多くなれば、「オオカミ少年」現象が起こり、肝心なときに注目を集められない可能性があると警告していた。