セキュリティ情報検索に関するよくある質問

セキュリティ情報検索 は、お使いのマイクロソフト製品の利用可能なセキュリティ更新プログラム (セキュリティ情報) を検索することが可能です。

2005 年 1 月 17 日にマイクロソフトは、セキュリティ情報を検索するための新しいセキュリティ情報検索 ツールを公開しました。 セキュリティ情報検索では、製品とサービス パックを指定して情報を検索することが可能です。 また、深刻度の情報および、他のセキュリティ情報に含まれるセキュリティ情報を検索結果に含めるかどうかを選択可能です。

セキュリティ情報は、新しいセキュリティ更新プログラムの提供を告知するために公開されます。 セキュリティ情報には複数のセキュリティ更新プログラムの情報が含まれる場合もあります｡また、セキュリティ情報には、セキュリティ更新プログラムにより対策される脆弱性に関する情報も含まれます。通常、1 つのセキュリティ情報で、同じ製品ファミリに属する複数製品のセキュリティ更新プログラムについて告知します。たとえば、Windows に関するセキュリティ情報の場合には、Windows Server 2003、 Windows XP、 Windows 2000 およびその他の Windows 製品のセキュリティ更新プログラムの情報が含まれています。それぞれのセキュリティ更新プログラムは製品ごとに提供され、以前に公開したセキュリティ情報でお知らせしたセキュリティ更新プログラムを置き換えることがあります。セキュリティ情報検索では、検索されたセキュリティ情報を表示しますが、置き換えられた過去のセキュリティ情報をフィルタして表示する場合があるので注意してください。

「製品/テクノロジーから検索」では、製品またはテクノロジーに関するセキュリティ情報を検索します。 [製品/テクノロジー] ボックスで「すべて」を選択した場合は、今までに公開したすべてのセキュリティ情報の一覧を表示します。 特定の製品を選択した場合は、その製品に関係するセキュリティ情報のみを表示します。 特定の製品を選択した場合は、その製品の中でセキュリティ情報が公開されているサービス パックを更に選択することが可能です。

サービス パックを選択した場合、置き換えられていないセキュリティ更新プログラムに関する情報のみを検索することも可能です。 この機能により、適用を検討する必要のある更新プログラムの情報のみを入手できます。この機能「置き換えられたセキュリティ情報(セキュリティ更新プログラム) を表示しない」は、製品とサービス パックの両方を指定した場合にのみ選択することが可能です。

深刻度によって検索結果を制限したい場合は、「深刻度」の各チェックボックスをオフにすることで検索対象から除外することが可能です。　また、「セキュリティ情報公開日」を指定することで、特定の期間内に公開された情報のみを表示できます。

検索結果は、選択された製品およびサービス パックに関係するセキュリティ更新プログラムまたは回避策に関する情報の一覧です。次の例をご覧ください：

「初期出荷版」とは、英語では "Gold" と表記され、その製品の最初のリリースで、サービス パックが 1 つも適用されていない状態のことを言います｡

深刻度評価システムは、ソフトウェア製品の脆弱性に対する一つの評価を提供します。 評価の定義については以下をご覧ください。

詳細は、こちら をご覧ください

必ずしも対策が行われているとは言えません。 もし、マイクロソフト プロダクト サポート ライフサイクルでサポートされていない製品またはサービス パックをお使いの場合、そのシステムは、セキュリティ情報検索で検索結果としてリストされる全てのセキュリティ更新プログラムを適用している場合でも安全ではない可能性があります。マイクロソフトは基本的に現行および次期の製品とそのサービス パックに対してのみセキュリティ更新プログラムを提供します。より正確にはプロダクト ライフサイクルで規定されている期間、提供します。 お使いの製品が既にサポートを終了している場合には、脆弱性の影響を受ける場合でもセキュリティ更新プログラムは提供されていません。マイクロソフト プロダクト サポート ライフサイクルに関する詳細は、http://www.microsoft.com/lifecycle をご覧ください。

セキュリティに関する修正がサービス パックに含まれ、セキュリティ更新プログラムとして提供されない場合があります。 例えば、対策が非常に複雑で個別のセキュリティ更新プログラムでは要求される互換性等の品質を満たせない場合は、サービス パックによる対策を選択する可能性があります。 更に、製品を構成するファイルの依存関係により、最新のサービス パックに対してのみセキュリティ更新プログラムを適用できることもあります。

最新のセキュリティ対策が行われた状態を求めるのであれば、最新のサービス パックを適用し、その上で適切なセキュリティ更新プログラムを適用することをお勧めします。

サービス パックを開発する過程では、この日以降はいかなる変更もこれ以上行わないという締切日が設定されます。これは、一般公開前にサービス パックの動作テストを行う時間を確保するためです。

この締切日以降に公開されるセキュリティ更新プログラムは、サービス パックに含まれません。それらのセキュリティ更新プログラムは、サービス パックを適用した後に適用することをお勧めします。サービス パックの適用前にセキュリティ更新プログラムを適用していた場合、サービス パックの適用後にそれらを再度インストールする必要はありません。サービス パックはそれらのセキュリティ更新プログラムを上書きしないでしょう。

両方適用することをお勧めします。

セキュリティ更新プログラムは、個々の脆弱性に対応するために提供されます。環境によってはこれらの脆弱性の影響を考慮する必要がない場合もあります。セキュリティ更新プログラムを適用する場合は、セキュリティ情報を熟読の上で対策の必要性を検討してください。

一方でサービス パックは、セキュリティとセキュリティ以外の対策を含み計画的にリリースされます。 サービス パックは、お使いの製品用の最新の対策を確実に適用する場合には、適用をお勧めします。サービス パックとセキュリティ更新プログラムのどちらを選択するべきかに関するより詳細な情報は、セキュリティ エッセイ 「修正プログラムよりサービス パックが優れている理由」をご覧ください。

いいえ。 セキュリティ更新プログラムを適用することは安全なシステムにするための重要なステップですが、それだけでは不十分です。十分に更新されたシステムでも、用途に合わない不適切な設定を行った場合は一様に安全ではありません。安全なシステムにするためのガイダンスは、「セキュリティ ガイダンス センター」から入手可能です。また、そのほかの充実したセキュリティに関する資料は、「TechNet セキュリティ センター」からも入手可能です。

この機能を使用するには、必ず製品とそのサービス パックを最初に指定しなければなりません。 置き換えられるのは、セキュリティ情報ではなく、個々のセキュリティ更新プログラムです。セキュリティ更新プログラムは、個々の製品およびサービス パック用に公開されるため、製品とサービス パックを指定しなければ、置き換えられたセキュリティ更新プログラムを特定することができないのです。

1 つのセキュリティ情報に複数の製品のセキュリティ更新プログラム情報が含まれる場合が多々あります。そのセキュリティ更新プログラムで対応している脆弱性の影響がある製品に対しては大きく、より高い深刻度として評価され、他の製品の場合はそれよりも低く評価されることがあります。

例えば、MS03-020 では、Windows XP Service Pack 1 用を含む Internet Explorer 6 Service Pack 1 は、「緊急」と評価されています。 しかし、Windows Server 2003 上の Internet Exploer 6 は、オペレーティングシステムに含まれるロックダウン機能で制限されており攻撃が制限されるため、「警告」として評価されています。

検索結果に表示される深刻度はセキュリティ情報に含まれる全てのセキュリティ更新プログラムの中で最も高い深刻度です。

Windows Server 2003 R2 は、Windows Server 2003 Service Pack 1 をベースとして色々な機能を追加した製品です。追加した新しい機能部分以外は、全て Windows Server 2003 Service Pack 1 と同じです。そのため、Windows Server 2003 R2 のセキュリティ更新は、Windows Server 2003 Service Pack 1 と同じものが適用可能です。Windows Server 2003 R2 の情報が必要な場合は、[製品/テクノロジー] で Windows Server 2003 の各エディションを選択し、[サービスパック] で、 Service Pack 1 を選択してください。

製品は幾つかのコンポーネントと共に出荷されますが、セキュリティ更新プログラムはオペレーティング システム自体とは別に個々のコンポーネント毎に提供されます。検索結果に MDAC が含まれるのは、Windows 2000 Service Pack 3 は MDAC と共に出荷されているためです。

この検索ツールでは、指定した製品だけではなく、製品に含まれて出荷されているものや、Internet Explorer の様な関連の特に強い製品も合せて列挙する機能があります。 そのため、 Windows NT 4.0 を検索した場合でも、Internet Explorer のセキュリティ情報が表示されます。 しかし、この関連する製品を検索する際に、関連する製品がサポートする OS および サービスパックであるかを確認することができないために、本来適用することができない、セキュリティ情報 (更新プログラム) も検索結果に含まれる場合があります。

既に、ライフサイクルを満了した Windows NT 4.0 や Windows 2000 Service Pack 2 以前の製品などについては、ライフサイクル終了後に公開されたセキュリティ情報について、セキュリティ情報をお読みいただき適用の可否を確認してください。

一覧には、セキュリティ更新プログラムが公開されているサービス パックのみ表示されます。一覧に表示されない場合は、そのサービス パック用のセキュリティ更新プログラムは提供されていません。

セキュリティ情報は、基本的に毎月第 2 火曜日の翌日に公開されます。しかし、脆弱性の影響度によっては緊急リリースを行う場合もあります。公開に関する詳細は、セキュリティ情報リリース プロセスの改定 をご覧ください。

セキュリティ情報を公開または更新した時に電子メールで通知する無料のサービスを提供しています。電子メールでの通知を受けたい場合は、ニュースレター購読ウィザードの操作手順 から「Microsoft プロダクトセキュリティ警告サービス」を購読してください。また、その月に公開されたセキュリティ情報の一覧は、「Microsoft セキュリティニュースレター」で配信しています。一覧を希望する場合は、こちらもあわせてご購読ください。