お客様のシステムに影響を与える攻撃は、これまでに不明な脆弱性が攻撃者によって悪用された結果であることはほとんどありません。むしろ、修正プログラムが入手可能であっても適用されていない脆弱性を悪用しているのです。このため、Microsoft はお客様が修正プログラムの適用を優先することをお勧めします。現在利用可能な更新プログラムは、セキュリティ更新プログラム ガイドに記載されています。

ただし、すべての脆弱性が同程度に深刻であるとは限りません。修正される各脆弱性に関連するリスクを把握できるように、Microsoft は脆弱性が悪用された場合の理論上最悪の結果に従って各脆弱性を評価する深刻度評価システムを公開しました。

評価

説明

重大

ユーザーの介入なしに悪用によってコードの実行が可能になる脆弱性。これらのシナリオには、自己増殖型のマルウェア (ネットワーク ワームなど) や、警告やプロンプトなしでコードが実行される回避不能の一般的な使用状況が含まれます。Web ページを参照したり、電子メールを開いたりする操作もあてはまります。

Microsoft は、重大な更新プログラムをただちに適用することをお勧めします。

重要

悪用の結果、ユーザー データの機密性、整合性、可用性、または処理リソースの整合性や可用性が損なわれる可能性がある脆弱性。これらのシナリオには、プロンプトの発生元、品質、使いやすさに関係なく、警告やプロンプトが表示される状況でクライアントのセキュリティが侵害される一般的な使用状況が含まれます。プロンプトや警告が発生しない一連のユーザー操作も対象になります。

Microsoft は、できるだけ早く重要な更新プログラムを適用することをお勧めします。

脆弱性の影響は、認証の要件や既定以外の構成への適用性などの要因によって大幅に軽減されます。

Microsoft は、セキュリティ更新プログラムの適用を検討することをお勧めします。

低い

脆弱性の影響は、影響を受けるコンポーネントの特性によって広範に軽減されます。Microsoft は、影響を受けるシステムにセキュリティ更新プログラムを適用するかどうかを評価することをお勧めします。

脆弱性の深刻度の評価基準は、脆弱性が悪用される可能性とは異なります。悪用される可能性を評価するために、Microsoft 悪用可能性指標では、Microsoft セキュリティ更新プログラムの展開に優先順位を付けるのに役立つ追加情報が提供されます。この指標により、更新プログラムのリリース後の最初の 30 日以内に、Microsoft セキュリティ更新プログラムで対処された脆弱性に対して実際に機能する悪用コードが作成される可能性についてのガイダンスが提供されます。

この深刻度評価システムは、各問題について広範な客観的評価を提供することを目的としていますが、お客様が自身の環境を評価して、システムを保護するために必要な更新プログラムを判断することを強く推奨します。