Microsoftが1年前に導入した3種のプログラムについて、これまでの成果を具体的に見ていくと、まず1つ目の「Microsoft Active Protections Program(MAPP)」は、月例セキュリティ更新のリリース前に、パートナー企業45社に脆弱性の情報を提供している。MAPPのパートナーでネットワークセキュリティプロバイダーのSourcefireは、同プログラムの情報を基に、Microsoftが毎月発表するセキュリティ情報の約95%に対応する脆弱性対策を公開している。
MAPPの導入前は、リバースエンジニアリングを行って概念実証コードを作成し、脆弱性を突いた攻撃を検出できるようにするのに約8時間かかった。Microsoftによると、これは知識の豊富な攻撃者が脆弱性の存在を確認してからエクスプロイトコードを作成するまでに要する時間とほぼ同じだという。
しかし、現在はわずか2時間ほどで対応できるとSourcefireは述べている。他の作業はMicrosoftが行うため、Sourcefireは検出プログラムを作成するだけでよく、Microsoftによると、いかなるエクスプロイトコードが登場しても、通常その何時間も前にパッチがリリースされているという。
2つ目のプログラム「Microsoft Exploitability Index」では、各脆弱性についてエクスプロイトコードが登場する可能性がどの程度あるかを評価しているが、Microsoftはその信頼度が99%にのぼると報告している。同プログラムが2008年に発表した140件の評価のうち、後から脆弱性の深刻度を引き下げた事例は1件のみだという。
3つ目のプログラム「Microsoft Vulnerability Research(MSVR)」では、Microsoftの研究者がサードパーティのソフトウェアのセキュリティホール発見に取り組んでいる。MSVRチームは2008年6月〜2009年6月の期間に、32のベンダーに影響するソフトウェアの脆弱性を発見したという。
サードパーティのソフトウェアに発見されたセキュリティホールのうち、86%は緊急レベルまたは重要レベルで、13%はすでに修正されたが、5%はまだ修正過程にあるとMicrosoftは報告している。なお、MSVRチームとMicrosoftのセキュリティ研究者Billy Rios氏は、先ごろ修正されたAppleのブラウザ「Safari」のセキュリティホールも発見している。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
