Microsoft が自社のソフトウェア、サービス、デバイスの脆弱性からお客様を保護するための取り組みには、脆弱性が Microsoft に報告されたときに、その脆弱性に対処するセキュリティ更新プログラムやガイダンスを提供することが含まれています。また、Microsoft のアプローチでは、セキュリティ研究者やお客様との間で情報の透明性を確保したいと考えています。このドキュメントでは、報告された脆弱性が Windows の最新バージョンと現在サポートされているバージョンに影響を与える場合に、サービス提供を通じて対処するか、または次期バージョンの Windows で対処するかどうかを判断するために、Microsoft セキュリティ レスポンス センター (MSRC) で使用される基準について説明します。Windows の脆弱性については、サービス提供はセキュリティ更新プログラムまたは適用可能なガイダンスの形式になっており、通常は Update Tuesday (米国時間の毎月第 2 火曜日) にリリースされます。

セキュリティ サービス提供の基準

報告された脆弱性に対してセキュリティ更新プログラムまたはガイダンスを提供するかどうかを評価するときに Microsoft が使用する基準には、次の 2 つの重要な質問に答えることが含まれます。
    1. 脆弱性はセキュリティ境界またはセキュリティ機能の目標や意図に違反しているか?
    2. 脆弱性の深刻度はサービス提供の基準を満たしているか?
両方の質問に対する回答が「はい」の場合、Microsoft は商業的に合理的な場合に、影響を受けるサポート対象のオファリングにセキュリティ更新プログラムやガイダンスを適用して、その脆弱性に対処します。いずれかの質問に対する回答が「いいえ」の場合、既定では、その脆弱性は Windows の次期バージョンまたはリリースで考慮されますが、セキュリティ更新プログラムやガイダンスでは対処されません。ただし、例外が発生する可能性はあります。

このドキュメントでは最もよく報告される脆弱性を扱っていますが、セキュリティを取り巻く状況は絶えず発展しているため、この基準に該当しない脆弱性があったり、脅威の状況の変化に合わせて基準が変更されたりする可能性があります。Microsoft はお客様が負うリスクに基づいて脆弱性に対処し、対処するかどうかを随時選択することができ、評価されたリスクに基づいて報告を作成します。

Microsoft が提供するセキュリティ境界とセキュリティ機能

Microsoft のソフトウェア、サービス、デバイスでは、セキュリティの目標を達成するために、多数のセキュリティ境界とセキュリティ機能、さらに、ソフトウェアの基盤となるハードウェアのセキュリティを利用しています。
セキュリティ境界
セキュリティ境界を使用すると、信頼レベルが異なるセキュリティ ドメインのコードとデータを論理的に分離できます。たとえば、カーネル モードとユーザー モードの分離は、典型的で簡単なセキュリティ境界です。Microsoft のソフトウェアでは、ネットワーク上のデバイス、仮想マシン、デバイス上のアプリケーションを分離するために、複数のセキュリティ境界を利用しています。次の表は、Microsoft が Windows 向けに定義したセキュリティ境界をまとめたものです。

セキュリティ境界

セキュリティの目標

サービス提供はあるか?

報奨金はあるか?

ネットワーク境界

承認されていないネットワーク エンドポイントでは、お客様のデバイス上のコードやデータに対するアクセスや改ざんはできません。 はい

はい

カーネル境界

管理者以外のユーザー モード プロセスでは、カーネル コードおよびデータに対するアクセスや改ざんはできません。Administrator to Kernel はセキュリティ境界ではありません。 はい

はい

プロセス境界

承認されていないユーザー モード プロセスでは、別のプロセスのコードやデータに対するアクセスや改ざんはできません。 はい

はい

AppContainer サンドボックス境界

AppContainer ベースのサンドボックス プロセスでは、コンテナーの機能に基づいてサンドボックス外のコードやデータに対するアクセスや改ざんはできません。 はい

はい

ユーザー境界

ユーザーは、承認されていない別のユーザーのコードやデータに対するアクセスや改ざんはできません。 はい

はい

セッション境界

ユーザー ログオン セッションでは、承認されていない別のユーザー ログオン セッションに対するアクセスや改ざんはできません。 はい

はい

Web ブラウザー境界

承認されていない Web サイトでは、同一オリジン ポリシーに違反できません。また、Microsoft Edge Web ブラウザーのサンドボックスのネイティブ コードやデータに対するアクセスや改ざんはできません。 はい

はい

仮想マシン境界

承認されていない Hyper-V ゲスト仮想マシンでは、別のゲスト仮想マシンのコードやデータに対するアクセスや改ざんはできません。これには、Hyper-V の分離コンテナーも含まれます。

はい

はい

仮想セキュア モード境界

VSM trustlet または enclave の外部で実行されているコードによって、VSM trustlet または enclave 内部のデータやコードに対するアクセスや改ざんはできません。 はい

はい

非境界 *

Windows のコンポーネントと構成の中には、堅牢なセキュリティ境界を提供することを明示的には意図していないものがあります。これらのコンポーネントの概要を次の表に示します。

* 注意: 次の一覧は包括的なものではなく、境界としてよく誤解される 2 つのコンポーネントに対処することを目的としています。既定では、明示的に指定されていない限り、コンポーネントは境界とは見なされません。

コンポーネント

説明

Windows Server コンテナー

Windows Server コンテナーでは、共有カーネルを使用してリソースを分離できますが、このコンテナーは悪意のあるマルチテナント機能のシナリオで使用されることは想定されていません。悪意のあるマルチテナント機能が関わるシナリオでは、Hyper-V 分離コンテナーを使用してテナントを確実に分離する必要があります。

Administrator to Kernel

管理プロセスと管理ユーザーは、Windows の Trusted Computing Base (TCB) の一部と見なされるため、カーネル境界から確実に分離されることはありません。管理者は、デバイスのセキュリティを管理しており、セキュリティ機能の無効化、セキュリティ更新プログラムのアンインストール、カーネルの分離を無効にするその他の操作を実行できます。

セキュリティ機能

セキュリティ機能は、セキュリティ境界に基づいて構築され、特定の脅威に対して堅牢な保護を提供します。場合によっては、あるセキュリティ機能の目的は、ある脅威に対する堅牢な保護を提供することになります。その場合、セキュリティ機能が目的を達成できなくなる仕様上の制限がないことが必要です。このようなカテゴリのセキュリティ機能については、Microsoft は次の表に示すようなサービス提供を通じて、報告された脆弱性に対処します。

カテゴリ

セキュリティ機能

セキュリティの目標

サービス提供はあるか?

報奨金はあるか?

デバイスのセキュリティ

BitLocker デバイスがオフになっている場合、ディスク上で暗号化されたデータは取得できません。 はい

はい

デバイスのセキュリティ

セキュア ブート UEFI ファームウェア ポリシーで定義されているように、OS ローダーなどのプリ OS で実行できるのは承認済みのコードだけです。 はい

はい

プラットフォームのセキュリティ

Windows Defender System Guard (WDSG) 正しく署名されていないバイナリは、システムのアプリケーション制御ポリシーに従って実行したり読み込んだりすることはできません。ポリシーで許可されているアプリケーションを利用したバイパスは範囲外です。 はい

はい

アプリケーションのセキュリティ

Windows Defender Application Control (WDAC) 対応した Windows スクリプト ホストによって実行されるスクリプトを含む、デバイスのポリシーに準拠した実行可能コードのみを実行できます。ポリシーで許可されているアプリケーションを利用したバイパスは範囲外です。管理者権限が必要なバイパスは範囲外です。 はい

はい

ID とアクセスの制御

Windows Hello/生体認証 攻撃者は、NGC (Next Generation Credential) のスプーフィング、フィッシング、または侵害を行ってユーザーを偽装することはできません。 はい

はい

ID とアクセスの制御

Windows Resource Access Control 明示的に許可されていない限り、ID (ユーザー、グループ) はリソース (ファイル、名前付きパイプなど) に対するアクセスや改ざんはできません。 はい

はい

Cryptography API: Next Generation (CNG)

プラットフォーム暗号化 アルゴリズムは仕様 (NIST など) に実装され、機密データは漏えいしません。 はい

はい

正常性構成証明

ホスト ガーディアン サービス (HGS) ダウンストリームの暗号操作に必要な正常性要求を発行または保留している発信者の ID と正常性を評価します。 はい

はい

認証プロトコル

認証プロトコル プロトコルは仕様に実装されており、攻撃者は機密データの改ざんや暴露、昇格された特権があるユーザーへの偽装を行うことはできません。 はい

はい

多層防御のセキュリティ機能

場合によっては、あるセキュリティ機能が提供する保護では、ある脅威に対する堅牢な防御を実現できないことがあります。このようなセキュリティ機能は通常、多層防御の機能または軽減策と呼ばれます。それらの機能でセキュリティが強化されても、仕様上の制限により脅威を完全に軽減できない場合があるためです。多層防御のセキュリティ機能をバイパスしても、それだけでは直接的なリスクが生じることはありません。なぜなら、攻撃者はデバイスのセキュリティ侵害の最初の段階に達するために、さらにセキュリティ境界に影響を与える脆弱性も発見している必要があるか、またはソーシャル エンジニアリングなどの他の手法を利用する必要があるからです。
 
次の表は、Microsoft が定義した、サービス提供プランがない多層防御のセキュリティ機能をまとめたものです。これらのセキュリティ機能に影響を与える脆弱性やバイパスは、既定では対処されませんが、今後のバージョンまたはリリースで対処される可能性があります。これらの機能の多くは、各製品リリースで継続的に改善されており、アクティブなバグ報奨金プログラムの対象にもなっています。
 
場合によっては、多層防御のセキュリティ機能で、既定ではサービス提供の基準を満たさない依存関係が生じることがあります。結果として、これらの多層防御のセキュリティ機能も、既定ではサービス提供の基準を満たさなくなります。この例は、カーネルまたは PPL (Protected Process Light) で保護された仮想マシン ワーカー プロセス (VMWP) を侵害できない管理者に依存するシールドされた仮想マシンで確認できます。この場合、既定では Administrator to Kernel および PPL はサービスされません。

カテゴリ

セキュリティ機能

セキュリティの目標

サービス提供はあるか?

報奨金はあるか?

ユーザーの安全性

ユーザー アカウント制御 (UAC) 管理者の同意がない場合に望ましくないシステム全体の変更 (ファイル、レジストリなど) を防止します いいえ いいえ

ユーザーの安全性

AppLocker 承認されていないアプリケーションが実行されないようにします いいえ いいえ

ユーザーの安全性

フォルダー アクセスの制御 悪意のある可能性のあるアプリケーションからの制御されたフォルダーに対するアクセスと変更を保護します いいえ いいえ

ユーザーの安全性

Mark of the Web (MOTW) ローカルから表示したときに、Web からのアクティブなコンテンツのダウンロードで特権が昇格しないようにします いいえ いいえ

悪用の軽減策

データ実行防止 (DEP) 攻撃者は、ヒープやスタックなどの実行可能でないメモリからコードを実行できません いいえ

はい

悪用の軽減策

アドレス空間配置のランダム化 (ASLR) プロセス仮想アドレス空間の配置は攻撃者には予測できません (64 ビット) いいえ

はい

悪用の軽減策

カーネル アドレス空間配置のランダム化 (KASLR) カーネル仮想アドレス空間の配置は攻撃者には予測できません (64 ビット) いいえ いいえ

悪用の軽減策

任意のコードガード (ACG) ACG が有効なプロセスでは、コード ページの変更や、新しいプライベート コード ページの割り当てはできません いいえ

はい

悪用の軽減策

コードの整合性ガード (CIG) CIG が有効なプロセスでは、正しく署名されていない実行可能イメージ (DLL) を直接読み込むことはできません いいえ

はい

悪用の軽減策

制御フロー ガード (CFG) CFG で保護されたコードでは、有効な間接呼び出しターゲットに対する間接的な呼び出しのみを行うことができます いいえ いいえ

悪用の軽減策

子プロセスの制限 この制限が有効になっている場合、子プロセスを作成できません いいえ

はい

悪用の軽減策

SafeSEH/SEHOP 例外ハンドラー チェーンの整合性を破壊することはできません いいえ

はい

悪用の軽減策

ヒープのランダム化とメタデータの保護 ヒープ メタデータの整合性を破壊することはできません。また、ヒープ割り当てのレイアウトを攻撃者は予測できません いいえ

はい

悪用の軽減策

Windows Defender Exploit Guard (WDEG) 脆弱性の悪用をさらに困難にする多層防御の悪用軽減機能をアプリケーションで追加で有効にできます いいえ いいえ

プラットフォームのロックダウン

Protected Process Light (PPL) 管理権限のない非 PPL プロセスが open process 関数を介して PPL プロセス内のコードおよびデータに対するアクセスや改ざんをできないようにします いいえ いいえ

プラットフォームのロックダウン

シールドされた仮想マシン VM のシークレットとそのデータを、ランタイムとオフラインの両方の攻撃で、悪意のあるファブリック管理者またはホスト上で実行されているマルウェアから保護できるようにします いいえ いいえ