マイクロソフトは、マイクロソフト セキュリティ アドバイザリおよびセキュリティ情報に関連する、セキュリティ更新プログラムを分類する方法を変更しました。この変更により、企業の管理者は、セキュリティ面で影響がある更新プログラムを明確に識別することができます。
今回の変更により、次のような利点があります。
-
マイクロソフトは、"MSRC 深刻度" が割り当てられていないセキュリティ情報の更新プログラムをより正確に分類できます。たとえば、[MS13-038] Internet Explorer 9 用のセキュリティ更新プログラム (2013 年 5 月 14 日) には、深刻度が割り当てられていません。今後、"MSRC 深刻度" は "未割り当て" に分類されます。
-
マイクロソフトは、マイクロソフトのコードの脆弱性には関連しないが、セキュリティ面で影響があるセキュリティ アドバイザリの更新プログラムを適切に分類できます。
このような種類のセキュリティの問題に対しては、お客様には "MSRC 深刻度" が "未割り当て" に設定されることが想定できます。また、お客様は、2013 年 5 月よりも前にリリースされたセキュリティ情報とセキュリティ アドバイザリの分類を、マイクロソフトが変更しないことに注意する必要があります。
以前は、セキュリティ アドバイザリと共にリリースされていたセキュリティ関連のコンテンツは、通常は "緊急" の更新プログラムの分類を使用して、セキュリティ以外の更新プログラムに分類されていました。今後、このようなコンテンツは、"セキュリティ更新プログラム" に分類され、"MSRC 深刻度" は "未割り当て" になります。このことは、セキュリティ アドバイザリについては知っているが、Microsoft Windows Server Update Services (WSUS) サーバー コンソールでセキュリティ更新プログラムを確認できない企業の管理者にとって、混乱の原因になる可能性があります。今回の変更により、企業の管理者は、セキュリティに影響する更新プログラムをより迅速に識別し、セキュリティ アドバイザリに関連するセキュリティ コンテンツをより効率的に関連付けることができるようになります。
また、マイクロソフト セキュリティ情報もこの方法で分類されている場合があります。たとえば、セキュリティ上の脆弱性の調査中に、脆弱性の悪用が、ある製品のあるバージョンに影響することが確認されたが、同じようなコードを使用する別の製品では悪用できないという状況が見つかる場合があります。このような状況では、マイクロソフトは予防的に、両方の製品に包括的に対処する可能性が高くなります。このような問題 (つまり、多層防御手段として更新プログラムをリリースする問題) に対しては、マイクロソフトは "未割り当て" の "MSRC 深刻度" を使用してパッケージを分類する場合があります。
