■深刻度(Severity Rating)
明らかになったプログラムの脆弱性がもたらす危険性を示す指標のこと。
マイクロソフトのTechNetセキュリティ情報では、「緊急(Critical)」「重要(Important)」「警告(Moderate)」「注意(Low)」の4段階で深刻度を表している。各段階の主な定義は以下のようになっている。
深刻度 |
TechNetセキュリティ情報の定義 |
緊急 |
インターネット・ワームがユーザーの操作なしで蔓延する可能性のある脆弱性 |
重要 |
ユーザーのデータの機密性、完全性または可用性が侵害される可能性のある脆弱性 |
警告 |
既定の構成や脆弱性の悪用が困難であることなどにより、危険性が大幅に緩和される脆弱性 |
注意 |
悪用が非常に困難で影響がわずかな脆弱性 |
「緊急」の場合は、ワームなどにより攻撃対象となりやすい脆弱性なので、すぐに検証作業を開始し、数日内での修正プログラムの適用を心がけた方がよい。「重要」「警告」についても、なるべく早期に検証を行い、修正プログラムの適用を行うことが推奨されている。深刻度は、危険性を分かりやすく示すためのものなので、たとえ「重要」であっても、ユーザーの環境によっては非常に攻撃のリスクが高い場合もあるので注意が必要だ。また、逆に「緊急」であっても、対象となるコンポーネントがインストールされていないなどの理由から、まったく危険性のない可能性も考えられる。深刻度は、修正プログラムの管理を行う上での1つの目安として利用するとよい。 |