|

MAPP は Microsoft Active Protections Program の略称で、Microsoft セキュリティ レスポンス センター (MSRC) によって実施されています。このプログラムに参加したセキュリティ ソフトウェア プロバイダーは、Microsoft の毎月のセキュリティ更新プログラムが公開される前に、セキュリティの脆弱性に関する情報に早期アクセスできます。この情報に早期アクセスすることで、MAPP のパートナーは、自社のセキュリティ ソフトウェアまたはハードウェア製品 (ウイルス対策ソフトウェア、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなど) に保護策を迅速かつ効果的に組み込めるようになります。

Microsoft は、お客様がリスクを管理して自身を保護できるように継続的な改善に努めています。MAPP を通じてセキュリティ更新プログラムが公開される前に脆弱性情報を共有することで、アプリケーション層およびネットワーク層での運用を行うセキュリティ ソフトウェア プロバイダーは、適切なタイミングで私たちの共通のお客様に保護を提供できるようになります。このプログラムがないと、セキュリティ ソフトウェア プロバイダーは、保護策を作成する前に、セキュリティ情報の公開リリースを待つ必要があります。

MAPP for Security Vendors は、2008 年以降に導入されているプログラムの中核となるもので、認定パートナー向けにさらに早期の情報共有が行われます。その目的は今後のセキュリティ リリースで検出データへの早期アクセスを提供してお客様を保護することです。パートナーは署名を作成して自社の製品内に配置する必要があります。MAPP プログラムには、MAPP Entry、MAPP ANS、MAPP Validate という3 つのサービス レベルがあります。

Microsoft Security Update Validation Program (SUVP) と同様に、MAPP Validate では、認定パートナーが MAPP 検出ガイダンスをテストできるようになります。このコミュニティ ベースの方法で検出情報を検証することで、ガイダンスの品質が向上します。MAPP Validate は、限定されたメンバーシップと厳密な参加条件が設定された招待制のプログラムです。

MAPP ANS (Advance Notification Service) は、MAPP for Security Vendors プログラムの第 2 レベルです。認定パートナーは、Microsoft の毎月の更新サイクルの 5 日前に MAPP データを利用できます。このプログラムはすべてのセキュリティ ベンダーに開かれていますが、プログラムへの参加、MAPP プログラムの期間、Microsoft との情報共有プログラムの要件に基づいた条件があります。情報共有については、以下のセクションで説明します。

エントリ レベルの MAPP は従来の MAPP オファリングです。認定パートナーは、Microsoft の毎月の更新サイクルの 24 時間前に MAPP データを利用できます。新規のパートナー組織はすべて、MAPP Entry レベルから開始します。

Microsoft は米国時間の毎月第 2 火曜日 (Update Tuesday) に更新プログラムをリリースする前に、脆弱性の検出ガイダンスを MAPP パートナーに提供するため、ある程度のリスクがあります。そのため、Microsoft は MAPP パートナーがお客様の保護を通じて、そのリスクに応じた見返りを示す能力と意思があることを確認する必要があります。これはどのように行われるのでしょうか。Microsoft は、Update Tuesday リリースの 24 時間前に 2 セットの検出ガイダンスを提供します。1 つは Microsoft 製品 (MAPP) 向けで、もう 1 つは Adobe 製品向けです。このパッケージには、含まれている CVE の一覧を示し、署名の作成が必要か省略可能かどうかを示すレポートも含まれています。必須の CVE について、パートナーは署名を作成し、Update Tuesday と同時に自社の検出製品に組み込む必要があります。通常は、必須の CVE で各製品 (MAPP と Adobe) について合計で 3 つから 6 つの署名が必要です。

パートナーは、署名作成のリリースから 10 日後と、これらの署名に対するテレメトリ検出のリリースから 30 日後に、両方のリリースに関するレポートを提供する必要があります。MAPP と Adobe の両方の署名作成の要件を満たし、すべてのレポート要件を満たすことは、MAPP の登録に必須です。

現在、パッシブな検出製品はサポートされていません。また、動作やパターンに基づく検出もサポートされていません。

最初の手順として、secure@microsoft.com に詳細な電子メール メッセージを送信します。MSRC の担当者が、提供された情報についてフォローアップを行います。すべての提出は、https://microsoft.com/msrc/pgp-key にある MSRC 公開 PGP キーを使用して送信する必要があります。

MAPP@microsoft.com には、MAPP 関連の問題または質問を送信してください。MAPP プログラムに固有ではない一般的なセキュリティ エスカレーションおよび質問は、secure@microsoft.com に送信する必要があります。MAPP 検出ガイダンスを送受信するときには、MAPP PGP キーが使用されます。このキーは https://microsoft.com/msrc/pgp-key にあります。

MAPP のコンテキストでは、「アクティブなソフトウェア セキュリティ保護」とは、悪用される問題の Microsoft セキュリティ更新プログラムが入手できない場合に、Microsoft システムへの侵入を検出したり、Microsoft システムを悪用から防御したりすることが可能なメカニズムです。たとえば、悪意のある動作を停止するウイルス対策定義、または悪用をブロックする IDS 署名は、アクティブなソフトウェア セキュリティ保護と見なされます。

いいえ。MAPP では、そのメンバーが自社の製品に対して署名または同様の脅威の修復を積極的に作成することを求めます。MAPP の参加者は、このプログラムで提供されるデータを直接使用して、保護策を社内で開発することが期待されます。

はい、MAPP は公開されたプログラムです。参加者として承認されている場合は、自社を MAPP パートナーとして売り込むことができます。このプログラムで機密となる事柄は、運用と提供されるデータに関連するものです。すべての機密情報には、Microsoft の秘密保持契約が適用されます。

MAPP の認定要件を満たしている場合は、MAPP アクティブ保護フォームをダウンロードして必要事項を記入し、MAPP@microsoft.com に送信してください。

Microsoft は MAPP for Responders と呼ばれる新しいプログラムを用意しており、近日中に提供を開始します。これがお客様のニーズに応えるものかもしれません。その場合は、プログラムの担当マネージャーに連絡できるようにします。

プログラムの最小限の目標を達成していない MAPP パートナーは、メンバーシップの一時停止の対象となるか、プログラムから除名される可能性があります。

MAPP@microsoft.com に直接お問い合わせください。

Microsoft はお客様へのリスクを最小限に抑えることに取り組んでいるため、広範なグループのお客様を対象とした保護を目指すには資格条件が必要になります。Microsoft は引き続き、必要に応じてこの条件の評価と更新を行っていきます。

MAPP パートナーは、Microsoft の毎月のセキュリティ更新プログラムのリリースで対処される予定の脆弱性について、高度なセキュリティ脆弱性情報を受け取ります。この情報は、Microsoft がその脆弱性について把握している内容を概説した一連のドキュメントとして提供されます。このドキュメントには、脆弱性の再現に使用される手順と、問題を検出するために使用される手順が記載されています。また、Microsoft は問題をさらに明らかにして保護を強化できるように概念実証や再現ツールを定期的に提供する場合があります。この支援は、これらの情報によってソフトウェア セキュリティ プロバイダーが私たちの共通の顧客にタイムリーで高度な保護を提供できる限り継続されます。

Microsoft は、情報の伝達と収集を自動化するモデルに移行しました。すべての MAPP パートナーは、API または所定のポータルからの直接ダウンロードを通じて情報を受け取ります。さらに、検出で誤検知を防ぐのに役立つ Clean File Metadata Feed (CFMD) にもアクセスできます。

また、Microsoft はプログラムの一環として情報交換を推進しています。これは MAPP メンバーシップの要件ではありませんが、利用できる脅威データを大幅に増やす機会になります。このプログラムは共有プログラムであるため、パートナーはデータを Microsoft と共有することが求められます。

現在共有されている情報には、次のものがあります。
  • 従来の検出ガイダンス
  • 悪意のある URL
  • Windows ファイル ハッシュ
  • 脅威インジケーター (Microsoft ベースのシステムへのアクティブな攻撃が対象)
  • 悪用インジケーター
  • その他の情報

Microsoft は、セキュリティ情報が平等に共有されるべきだと考えています。共有できる情報について原則はありませんが、データは一般的にエコシステムの潜在的な脅威に気づく可能性を高めてくれます。共有データの例として、ファイル ハッシュ、悪意のある IP アドレス、既知の攻撃に関連付けられたファイル名、デトネーション データ、侵害の兆候 (すべての種類) などが挙げられます。