Microsoft Security Response Center マイクロソフト セキュリティ情報の深刻度評価システム
(改訂版 2002 年 11 月)
Microsoft Security Response Center (MSRC) の使命は、お客様のシステムおよびネットワークを安全に運用することを支援することです。この使命の主要な部分は、マイクロソフト製品に存在すると疑われる脆弱性に関するお客様からの報告を調査し、必要に応じ、正当な報告に対応し、更新プログラムおよびセキュリティ情報を作成し、普及されるようにすることなどが含まれます。
MSRC は、その脆弱性による影響の可能性が低くても、または影響が限定されていても、我々の判断により、複数のお客様のシステムにその影響が及ぼす可能性があるすべての製品の脆弱性に対してセキュリティ情報をリリースしています。しかし、我々側で対策を採る必要がある脆弱性を識別に対する従来の方法では、多くのお客様が、特に深刻な危険性を持つ脆弱性を認識するのがより困難になってきています。
業界の経験上、お客様のシステムに影響を及ぼす攻撃は、攻撃者が未知の脆弱性を悪用した結果である場合はめったにありません。Code Red および Nimda ワーム ウイルスのように、攻撃はむしろ、更新プログラムがすでに提供されていても、それが適用されていない脆弱性が悪用される場合が多いのです。
すべての脆弱性がすべてのユーザーに同等な影響を及ぼすわけではありません。この文書では、マイクロソフトのセキュリティ情報の深刻度評価システムに関して説明しています。我々はお客様からのフィードバックに基づき、このシステムを 2002 年 11 月に改訂しました。このシステムは我々のお客様が特定の状況での影響を回避するために適用すべき更新プログラム、および必要となる対処の緊急性を決定するのを支援することを目的としています。お客様の要望により、我々はこの情報を我々のセキュリティ情報に含め、お客様が各自の危険性を評価する手助けをします。
トピック
 | 深刻度評価システム |
| システムの使用 |
| 更新履歴 |
深刻度評価システム
この深刻度評価システムにより、脆弱性毎に 1 つの深刻度が付けられます。この評価の定義は以下の通りです。
| 評価 | 定義 |
緊急 (Critical) | この脆弱性が悪用された場合、インターネット ワームがユーザーの操作なしで蔓延する可能性があります。 |
重要 (Important) | この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性またはアベイラビリティが侵害される可能性があります。または、処理中のリソースの完全性またはアベイラビリティが侵害される可能性があります。 |
警告 (Moderate) | この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用される可能性は大幅に緩和されます。 |
注意 (Low) | この脆弱性の悪用は非常に困難です。または影響はわずかです。 |
マイクロソフトは適宜、システム環境または使用状況により、脆弱性の深刻度が異なる場合を提示します。この評価は、脆弱性が既知のものとなり、脆弱性を悪用するコードまたはスクリプトが広範囲に利用可能であるという前提のもとに行われます。
システムの使用
マイクロソフトはこの深刻度評価システムを、現時点から新しく公開される各マイクロソフト セキュリティ情報に適用します。複数の脆弱性を解決する更新プログラムについては、その更新プログラムが排除する新しい脆弱性の中で最も深刻であるものに基づいて深刻度を評価します。さらに、関連するマイクロソフト セキュリティ情報は常に説明された各問題について深刻度の評価を提供します。
マイクロソフトでは、影響を受ける製品をご使用のお客様は、「緊急」または「重要」と評価されている脆弱性に対応するすべての更新プログラムを常に適用する必要があると考えています。特に、「緊急」と評価されている更新プログラムは、直ちに適用する必要があります。「警告」または「注意」と評価されている脆弱性に関しては、セキュリティ情報を読み、その脆弱性がお客様の独自の構成に影響を及ぼす可能性があるかどうかを決定する必要があります。なお、「注意」と評価されている脆弱性は、マイクロソフトがほとんどのお客様には影響が及ぶ可能性が低いと考えているものです。
この深刻度評価システムは、それぞれの問題を広く客観的に評価できるようにすることを目的としていますが、マイクロソフトは、お客様にそれぞれの環境を確認し、システムを保護するために必要な更新プログラムを決定することを強く推奨します。
深刻度評価システムに対する2002 年 11 月の改訂に関する 「よく寄せられる質問」 をご覧ください。
更新履歴
2002 年 11 月 19 日: 深刻度評価システムを改定しました。以前の評価システムは、こちらをご覧ください。