Microsoft、セキュリティ強化のための新プログラム2種を発表

Microsoft は、より多くの情報をエンドユーザーやセキュリティ ベンダーと共有することにより、同社の「Trustworthy Computing」(信頼できるコンピューティング) 構想を発展させようとしている。今回発表された『Exploitability Index』と『Microsoft Active Protections Program』(MAPP) は、Microsoft 製品に影響するセキュリティ脆弱性に関して、新たな可視性を提供する。

Microsoft の Trustworthy Computing 構想は、2001年に同社のセキュリティ慣行への信頼を取り戻すための取り組みとして発表された。同構想から生まれたものの1つが、月例セキュリティ更新だ。Exploitability Index は、月例セキュリティ更新で公開される情報を補足する形で、脆弱性がもたらすリスクをユーザーが理解するのに役立つ新しい評価情報を提供する。

リスク判断のため、Microsoft は、ある脆弱性に対して、悪用コードが存在するか否かや、それが登場する可能性がどのくらいあるかについて、詳細情報を Exploitability Index で提供する。基本にあるのは、同社の顧客が、セキュリティ更新の重要性について、それらが悪用される危険性を基準に順序づけられるよう支援するという考えだ。

一方 MAPP は、Microsoft パートナーの新しいコミュニティを作り、脆弱性に関する詳細情報を月例セキュリティ更新が発表される前にそこで提供しようというもので、エンドユーザー向けの Exploitability Index とは相互補完的だ。Microsoft の目論見は、不正侵入防止システムやアンチウイルス システムなど、パートナー企業が扱う分野によって、それぞれの製品ごとに保護対策を講じてもらおうとというものだ。

Microsoft Security Response Center (MSRC) のグループマネージャ Mike Reavey 氏によると、MAPP のメンバーは Exploitability Index に関しても、Microsoft によるリスク評価を検証するという形で協力するという。

MAPP と Exploitability Index はどちらも今年10月に開始となる見通しだ。そのときまで Microsoft は、MAPP プログラムに参加するようセキュリティ ベンダーへの呼びかけを行なう。