MS、パートナー企業にセキュリティ情報を提供する新プログラムを開始へ

　Microsoftは、同社顧客向けにセキュリティソフトウェアやサービスを販売しているパートナー企業に対し、同社の月例セキュリティアップデート「Patch Tuesday」のリリース前に、同社ソフトウェアに含まれる脆弱性に関する技術的詳細を提供する新プログラム「Microsoft Active Protections Program（MAPP）」を開始する。

　Microsoftは米国時間8月5日、Black Hatセキュリティカンファレンスで同プログラムを発表する。このプログラムの目的は、攻撃者らがMicrosoftのセキュリティパッチのリバースエンジニアリングを行い、エクスプロイトを開発する前に、ソフトウェアベンダーらにソフトウェアのアップデートを準備する機会を与えることにある。

　「これは基本的に、攻撃する者と保護する者の間の競争だ」と語るのは、Microsoft Security Response Centerを運営するAndrew Cushman氏だ。「（同プログラムは）われわれの共通の顧客にセキュリティ機能を提供しているソフトウェアプロバイダーに先手を打ってもらうのが目的だ」

　「同プログラムにより、（ベンダーは）パッチのリバースエンジニアリングを行ったり、脆弱性のある箇所やエクスプロイトを可能にする要因を特定する手間が省ける」（Cushman氏）

　Cushman氏は、ベンダーがどのように通知を受けるか、また、Microsoftから情報提供を受けてからアップデートをリリースするまでの時間がどの程度あるか、については明らかにしなかった。ホストベースあるいはネットワークベースの攻撃に対する保護を提供しているソフトウェア企業は、同プログラムへの入会申し込みを行い、承認される必要がある。その上で、ベンダーとMicrosoftとの間で相互に守秘義務契約を結ぶという。

　「ベンダーが、なるべく（毎月第2火曜日の）午前10時に近い時間にアップデートをリリースできるように彼らに情報を提供することが目標だ」とCushman氏は語る。

　同プログラムの開始は10月だが、MicrosoftはすでにIBM/ISS、TippingPoint、Juniperの3社に同プログラムを提供している、とCushman氏は述べている。

　またMicrosoftは10月から、月例セキュリティ情報の中でExploitability Indexも提供する。これは、エクスプロイトが作られる可能性に基づいて脆弱性を3つのランクに格付けすることにより、企業や組織が対処する優先順位を決められるようにするというもの。Cushman氏によると、格付けは、最も深刻な「エクスプロイテーションが行われる可能性が高く、確実性もある」、中程度の「エクスプロイテーションが行われる可能性は高いが、確実性は一貫していない」、最も深刻度の低い「エクスプロイテーションが行われる可能性は低い」の3種類だという。